サイバーセキュリティの脅威がますます高度化・多様化する中で、各国のセキュリティ機関は企業や組織に対して最新の対策を講じるよう求めています。特に、リモートアクセスを保護するためのVPN(仮想プライベートネットワーク)に関して、脆弱性の多いSSL VPNからより安全なIPsecへの移行が推奨されています。この記事では、ノルウェーの国家サイバーセキュリティセンター(NCSC)が発表したSSL VPNからIPsecへの移行推奨について詳しく解説し、他国の動向も交えながらその重要性を探ります。

ノルウェーの推奨策

ノルウェーの国家サイバーセキュリティセンター(NCSC)は、エッジネットワークデバイスに関連するSSL VPN/WebVPNの脆弱性が繰り返し悪用されることを受け、これらのソリューションを代替策に置き換えることを推奨しています。NCSCは、企業や組織が2025年までに移行を完了することを求めており、安全法の対象となる組織や重要インフラに属する組織は2024年末までにこの移行を完了するべきだとしています。

NCSCの公式な推奨事項によると、SSL VPN/WebVPN製品のユーザーは、インターネットプロトコルセキュリティ(IPsec)とインターネットキー交換(IKEv2)に切り替えるべきです。

SSL VPNとIPsecの違い

SSL VPNおよびWebVPNは、SSL/TLSプロトコルを使用してインターネット経由でネットワークへの安全なリモートアクセスを提供し、ユーザーのデバイスとVPNサーバー間の接続を「暗号化トンネル」によって保護します。

一方、IPsecはIKEv2と組み合わせて通信を保護し、各パケットを定期的に更新されるキーセットを用いて暗号化および認証します。

脆弱性とその対策

「脆弱性の重大性とこの種の脆弱性がアクターによって繰り返し悪用されていることから、NCSCはSSL/TLSを使用する安全なリモートアクセスソリューションをより安全な代替策に置き換えることを推奨します。NCSCは、インターネットプロトコルセキュリティ(IPsec)とインターネットキー交換(IKEv2)を推奨します。」とNCSCの発表には記されています。

サイバーセキュリティ組織はIPsecとIKEv2にも欠点がないわけではないことを認めていますが、SSL VPNと比較して設定ミスに対する許容度が低いため、安全なリモートアクセスインシデントの攻撃面を大幅に減らせると考えています。

提案される実施措置

NCSCは以下の実施措置を提案しています。

  1. 既存のVPNソリューションの再設定または置き換え
  2. すべてのユーザーとシステムの新しいプロトコルへの移行
  3. SSL VPN機能の無効化および受信TLSトラフィックのブロック
  4. 証明書ベースの認証の使用

IPsec接続が不可能な場合、NCSCは代わりに5Gブロードバンドを使用することを提案しています。

一方、VPNソリューションがIPsecとIKEv2オプションを提供していない組織には、計画と実行に時間がかかるため、暫定措置として以下の対策を共有しています:

  • 中央集約型のVPNアクティビティロギングの実装
  • 厳格なジオフェンシング制限の実施
  • VPNプロバイダー、Torエグジットノード、およびVPSプロバイダーからのアクセスのブロック

アメリカやイギリスを含む他の国々も、他のプロトコルよりもIPsecの使用を推奨しています。

SSL VPNの多くの脆弱性

IPsecとは異なり、SSL VPNには標準がなく、ネットワークデバイスメーカーは独自のプロトコル実装を行っています。しかし、これが原因で、Cisco、Fortinet、SonicWallなどのSSL VPN実装には多くのバグが発見され、ハッカーによってネットワーク侵害のために積極的に悪用されています。

例えば、Fortinetは今年2月、中国のVolt TyphoonハッキンググループがFortiOS SSL VPNの2つの脆弱性を悪用してオランダ軍ネットワークを含む組織に侵入したことを明らかにしました。

2023年には、AkiraとLockBitランサムウェアの操作がCisco ASAルーターのSSL VPNゼロデイを悪用して企業ネットワークに侵入し、データを盗み、デバイスを暗号化しました。

今年の初めにも、FortigateのSSL VPN脆弱性が政府、製造業、重要インフラに対してゼロデイとして悪用されました。

NCSCの推奨事項は、同組織が最近、2023年11月以降に重要インフラで使用されているCisco ASA VPNの複数のゼロデイ脆弱性を悪用する高度な脅威アクターについて警告したことを受けたものです。

Ciscoはこの特定のキャンペーンを「ArcaneDoor」として開示し、「UAT4356」または「STORM-1849」として追跡されている脅威グループがデバイスのSSL VPNサービスに関連するWebVPNセッションに不正アクセスしたとしています。

これらの攻撃は、認証バイパス、デバイスの乗っ取り、および管理権限への特権昇格を可能にするCVE-2024-20353およびCVE-2024-20359という2つのゼロデイを悪用しました。

Ciscoは4月24日にこれら2つの脆弱性を修正しましたが、サイバーセキュリティおよびネットワーキング機器の企業は、脅威アクターが最初にデバイスにアクセスした方法を特定できませんでした。

他国の動向

アメリカやイギリスを含む他の国々も、他のプロトコルよりもIPsecの使用を推奨しています。これらの国々も、SSL VPNの脆弱性が繰り返し悪用される現状を踏まえ、より安全なプロトコルへの移行を推進しています。

まとめ

サイバーセキュリティの脅威が増大する中、ノルウェーの国家サイバーセキュリティセンター(NCSC)は、SSL VPNの脆弱性が繰り返し悪用される現状を踏まえ、IPsecとIKEv2への移行を強く推奨しています。この移行は、企業や組織がネットワークをより安全に保つための重要なステップとなるでしょう。特に、重要インフラや安全法の対象となる組織は、2024年末までに移行を完了することが求められています。