原文のブログはこちらからご覧いただけます。
大手 VPN ベンダーが公表する重大な脆弱性アラートは、依然としてネットワーク管理者を疲弊させています。2022 年 11 月 8 日、Citrix 社は、Citrix Gateway(SSL VPN サービス)と Citrix ADC(企業に展開されたクラウドアプリケーション向けの負荷分散ソリューション)に影響を与える 3 つの重大な脆弱性を公表しました。公表された脆弱性は以下のとおりです。
- CVE-2022-27510:代替パスまたはチャネルの使用によって認証が回避されます。この脆弱性は、アプライアンスが VPN として構成されている場合にのみ悪用可能です。この問題は深刻度が「緊急」の脆弱性と評価されています。
- CVE-2022-27513:データの真正性検証が不十分なため、フィッシングを介してアクセス権が付与され、リモートデスクトップが乗っ取られます。この脆弱性は、アプライアンスが VPN として構成され、かつリモートデスクトッププロトコル(RDP)のプロキシ機能が構成されている場合にのみ悪用可能です。
- CVE-2022-27516:ブルートフォース攻撃からユーザーログインを保護する機能が回避され、アカウントがブルートフォース攻撃の影響を受けやすくなります。この脆弱性は、アプライアンスが VPN または AAA 仮想サーバーとして構成され、かつ「最大ログイン試行」が構成されている場合にのみ悪用可能です。
Citrix 社はこれらの問題の軽減策として、関連するアップデートをできるだけ早くインストールし、影響を受けた環境にパッチを適用するよう顧客に推奨しています。
VPN における脆弱性の歴史
VPN の管理者は、この種の脆弱性を嫌というほどよく知っています。Citrix 社は 2019 年にも Citrix ADC と Citrix Gateway の脆弱性を公表しており、この影響で 8 万社を超える企業のネットワークが脅威にさらされる恐れがありました。
CVE-2019-19781 として採番された脆弱性は、リモートの攻撃者が認証なしで企業の内部ネットワークにアクセスし得るというものでした。この脆弱性が悪用されると、脅威アクターの意のままにリモートでコードが実行される可能性があります。
この種の脆弱性は、特定の VPN ベンダーに限ったものではありません。実際、これらの問題の根本原因は、脅威アクターたちが複雑で微妙に異なる戦術、技法、手順(TTP)を採用している現代において、従来の VPN テクノロジーを使用することなのです。
VPN ソフトウェアがネットワーク境界に存在し、インターネット上の脅威にさらされている状況は、組織のデータとネットワークリソースにハッカーを誘っているようなものです。こうした製品に重大な脆弱性がある場合、インターネットに接続できさえすれば誰でもこれを悪用できてしまいます。このように広範な攻撃対象領域は、潜在的な攻撃のリスクを大幅に増加させます。
BlackBerry のインシデント対応(IR)チームによると、通常、脅威アクターが単一の脆弱性だけを悪用することはありません。その代わり、脅威アクターは保護が不十分なシステム上を水平展開し、他の脆弱性(アクセス獲得の起点とした脆弱性の悪用後に発見し得る、現在または将来の脆弱性)を悪用するために、無数の手法を用いる可能性があります。過去の多くの事例では、起点となった脆弱性にパッチが適用されてもなお、システムにすでに侵入した脅威アクターが他の脆弱性を悪用しようと待ち続けていました。パッチ適用をいくら洗練させても、欠点は 1 つでも多過ぎるものであり、気づいていない被害者をよそに侵害が長期化する恐れがあります。
VPN のリスクを軽減するゼロトラストソリューション
従来の VPN テクノロジーによるリスクを軽減する第一歩となるのは、ネットワークアクセスに対するゼロトラストアプローチを採用することです。これを主な理由として、Gartner 社はネットワークセキュリティで特に成長が見込まれる分野に ZTNA を挙げ、2022 年に 36%、2023 年に 31% の成長を予測しています。この成長を後押ししているのは、セキュアアクセスのための VPN への依存度を減らしつつ、ゼロトラストでリモートワーカーと組織を保護することに対する需要の高まりです。ゼロトラストアプローチでは、インターネットに公開されるシステムやサービスが少なくなるため、侵害のリスクが低減されます。
CylanceGATEWAY は、ZTNA に対するクラウドネイティブなアプローチです。強力な AI(人工知能)と ML(機械学習)に支えられた各種のセキュリティ機能を備え、認証と認可を継続的に実施します。これらの機能は連携して機能し、攻撃対象領域を削減するとともに、検証済みの適切な権限を持つユーザーが必要とするアプリケーションやサービスに対してのみ、きめ細かなアクセス権を付与します。
これらのセキュリティ機能は、ユーザーエクスペリエンスの向上やパフォーマンスの改善とも結びついています。具体的には、より優れたトンネリングプロトコル、バックホールトラフィックの排除(企業データセンターへのトラフィックフローの最小化)、およびグローバルに広がるポイントオブプレゼンスにより、場所に縛られない職場環境におけるユーザーエクスペリエンスを向上させます。
包括的に実装された ZTNA は、ランサムウェア、コマンドアンドコントロール(C2)ビーコン、権限昇格、DNS トンネリング、データの抜き出しに対する抑止力となります。その結束力は、攻撃対象領域を削減するだけでなく、水平展開や望ましくないアプリケーションの探索行為を予防し、オンプレミスとクラウド双方のリソースに対するネットワークアクティビティの可視性を向上させます。
BlackBerry は、ZTNA に対するクラウドネイティブなアプローチをサポートし、データ、アプリケーション、ユーザーの安全を確保しながらデジタルビジネスの変革を促進する、高速で高信頼、かつ弾力性の高いソリューションを現代の企業に提供します。
BlackBerry® ソリューションの CylanceGATEWAY™ で ZTNA の力を活用し、増大する脅威ベクトルに対処する方法の詳細については、こちらのページをご覧ください。
.png)
