「VPN機器の脆弱性」とは?

「VPN機器の脆弱性」とは?

Zero Trustのお話を伺うと、Zero Trustに移行すべき理由のひとつとして「VPN機器の脆弱性」と紹介されます。これは、具体的にどのような脆弱性なのでしょうか?ちょっと調べてみました。 どのような製品(技術)が危険で、どのような製品(技術)が安全なのでしょうかね?
Clock Icon2024.03.04

Zero Trust Network Access (ZTNA) ソリューションのプロモーションで語られる「VPN機器の脆弱性」という単語は、何を意味していて、何がが由来なのでしょうか?Cloudflareの発表資料を元に少し深堀をしてみました。

Cloudflareの関連情報には、何が書かれているのか。

概要

米国で最も利用されているSSL-VPN技術で実現されたリモートアクセスVPNソリューションの「Ivanti Connect SecureとIvanti Policy Secure」のハッキング(日本の技術者はクラッキングと分類する)が相次いだため、CISAから緊急指令が発令され、政府機関は代替ソリューションを検討しはじめたようです。

  • Ivanti VPNのハッキングが続き、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は緊急指令を発するに至りました。
    • 対象利用者:CISA指令の影響を受ける連邦政府機関や、指令の推奨軽減処置を実施するあらゆる機関
    • 脆弱なVPNソリューション:Ivanti Connect SecureとIvanti Policy Secure
    • 代替VPNソリューション: Cloudflare Zero Trust Network Access (ZTNA)

それによって、Zero Trustソリューションベンダーが一斉に移行ソリューションとして「ZTNA」の提案を開始したようですね。

Cloudflareの「VPN機器の脆弱性」に近い情報は、これ?

Cloudflareから発信された類似情報を調べると以下のものが関連性が高いようです。

これらの記事から気になるワードを抽出

  • 「VPN Vulnerabuility」とその直訳の「VPNの脆弱性」
    • Need Help Eliminating VPN Vulnerabilities Immediately?
    • 今すぐVPNの脆弱性を排除するための支援が必要ですか?
  • CISA指令 / CISA’s directive
    • Cybersecurity and Infrastructure Security Agency
    • 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁

気になった点

  • CISA発表資料では、狙われたのベンダー情報などは未記載だが、Cloudflare公開情報では「CISA指令」や「Ivanti VPN」など踏み込んだ用語を使用している。
    • 米国政府関連組織で、Ivanti Connect SecureやIvanti Policy Secureの利用が多かったんでしょうかね。
  • 最近注目されている脆弱性は、2024/01/31に公開された「CVE-2024-21893」のようです。

Cloudflareによる代替VPNソリューションの提案

代替VPNソリューションの提案要旨

  • リモートワークの増加による、過負荷解消
  • リモートアクセスVPNのVPNサーバーが攻撃の対象になって、増加するリスクの解消
  • VPN認証情報を持っているアカウントのアクセス権限を制御(Zero Trust)
  • 管理者やユーザーの操作性改善

「VPN機器の脆弱性」という日本語訳の違和感!?

Cloudflareからの発信情報では、「VPN機器の脆弱性」という日本語訳につながる強い言葉は、見当たりません。Cloudflareは「技術的に適切な情報発信を心がけている企業」という印象を持っています。

「VPN機器の脆弱性」という言葉が使われているのは日本国内限定なのでしょうかね。

NSAとCISAによる共同発信情報

では、実際CISAはどのような情報発信をしているのでしょうか?リモートアクセスVPNに用いるVPN製品の選び方などをまとめているこちらの情報が該当するものと思われます。

これらのVPNや脆弱性に関連するワードを抽出

「SSL-VPNの脆弱性」が「米国の国家レベルの安全保障」にかかわる事態となっている。

  • NSA
    • National Security Agency
    • 国家安全保障局
  • CISA
    • Cybersecurity and Infrastructure Security Agency
    • 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁
  • remote access VPN / リモート アクセス VPN
  • VPN server / VPNサーバー
  • vulnerable VPN devices / 脆弱なVPNデイバス
  • validated VPN products / 検証済み VPN 製品
  • VPN products / VPN 製品

最優先の推奨事項

  • 標準化されたIKE/IPsecが利用できるVPN製品を使用
  • 多要素認証などの強力な認証方式の採用
  • パッチやアップデートの迅速な適用
  • VPN に関連しない機能を無効にして VPN の攻撃対象領域を削減する

「VPN機器の脆弱性」という日本語訳の違和感!?

NSAやCISAの情報発信が「VPN機器の脆弱性」という日本語訳の語源であるならば、"VPN"について言葉の定義も含めて、丁寧に説明されています。漠然と「VPN機器の脆弱性」を想起するような強い言葉は、見当たりません。

  • 懸念されているVPN技術:各社独自仕様で展開されるSSL-VPN技術
  • 懸念されるVPN製品:各社独自仕様で展開されるSSL-VPN製品
    • 基本は、サーバー型ソフトウェア。
    • ハードウェア暗号処理エンジンを搭載した装置、サーバーアプリケーション、クラウドアプリケーションもあるかも。
  • 主たる用途:remote access VPN (リモート アクセス VPN)

「VPN機器の脆弱性」からは、「VPNと名の付くものは、すべて即刻使用を中止せよ!」のような強い強迫観念を感じていました。VPN技術も、VPN用途も、VPN製品もとても多様で、脆弱性も、安全性も、それぞれです。本当にそんな意図なのかな?そんな画一的なのかな?用語選びは適切なのかな?という違和感がありました。

原典と思われる文書を確認してみたら、誤解されないようにとても丁寧で、示唆に富んでいるようでした。

約30年前に「目の前の事象を鵜吞みにせず、自分の目で原典に当たれ!」(みたいな)アドバイスを受けたことを思い出しました。

  • たとえば、「10BaseT」と「10BASE-T」は、どちらの表記が正しい?適切?みたいな。
    • だって、●●さんがそう書いてるじゃん!→間違っている可能性は否定できない。弘法も筆の誤り。
    • 検索のヒット数?→間違っている可能性あり!
    • 目の前にある規格書らしい文書?→間違っている可能性あり!
    • そもそも、その規格を定義した組織からの発表資料?→正しい

NSAとCISAの発表資料から感じたこと

「独自仕様よりも、標準化された仕様を採用した製品を選ぶべき」というセキュリティー視点のポリシー(知見)を感じました。

企業がソリューションを売り込むとき、「独自仕様」を展開して、差別化したくなります。

利便性を高める機能であれば、それはとても有益でしょう。

しかし、本件の話題のようなセキュリティー機能に関するものは、どうあるべきなのでしょうか?

独自仕様でセキュリティー技術を使って作った製品は、それにかかわる人数や知恵は、限定的にならざるを得ません。安全性も未知数です。

標準仕様を元にセキュリティー技術を使って作った製品は、その技術仕様に関わる世界中の研究者、技術者、そしてその技術を使って製品を作る技術者、とてもたくさんの人が関わって、安全性や利便性を高める工夫を続けています。兵十ン仕様は、それに関わる人が多ければ多いほど、最もセキュリティーが高い仕様となっていくんです。

安全性を重視する場合、多くの人の目が届いた標準仕様は、人類の知恵の結晶で、とても高い価値なのだとだと改めて感じました。

モノづくりは、標準仕様を採用するところ、独自仕様を採用するところ、うまいこと使い分けるのがよさそうです。

日本向けニュース情報 (英文ニュースの日本語訳)

媒体によって、様々な日本語訳が展開されています。技術を伝える媒体(専門家、専門誌)は、それぞれのバックボーンを感じながらも、適切な日本語選びをしている印象です。一般紙的な媒体については、ノーコメントで。

リモートアクセスVPNの脆弱性を伝える媒体

リモートアクセスVPN製品の脆弱性を突いたクラッキング(ハッキング)の具体例として、様々な情報に引用される脆弱性情報などを集めてみました。クラッキングも経済性が求められるので、主要ベンダーが攻撃対象になりやすいです。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.