Criminal IPを活用して外部露出された企業のVPN IPを検索及び保護する方案

新型コロナウイルス感染症で在宅勤務が増えると同時にVPNを利用する企業も増加し、VPNの脆弱性を悪用した攻撃が増加している状況です。

代表的な例として、韓国での韓国原子力研究院と韓国航空宇宙産業の事例が挙げられますが、いずれも攻撃者がVPNの脆弱性を利用した非認可者の管理者ページへのアクセス、管理者権限なしのパスワード変更などを行ったことが確認されました。

海外の場合、中国のハッカーと見られるハッカーがVPNの脆弱性を利用して米国の防衛産業の一部システムに侵入し、また、ロシアのハッキンググループはVPNの脆弱性を利用して日本及び海外の約900社のVPNアカウント情報を盗用し、内部システムにアクセスしたこともありました。

その他、一般企業でもVPNの脆弱性を活用したハッキングの試み及び事故がしばしば発生していることが知られて、セキュリティ担当者はVPN脆弱性を狙ったハッキングの被害が起こらないように特別な注意を払わなければなりません。

AI Speraのサイバー脅威インテリジェンスプラットフォームCriminal IPはセキュリティ担当者が管理する会社のVPNサービスが外部に漏れているのかを判明し、どのように保護措置を取るべきかを調べてみます。

サイバー脅威インテリジェンス検索エンジン‘Criminal IP’

世界中のVPNサーバーIPの脆弱性統計

世界中のIPの中でVPNが含まれたIP情報を検索した結果、合計47,270、韓国では950のIPでVPNが含まれていることが分かりました。

韓国を中心にもう少し詳しく見ると、VPNサービスが含まれたIPの中でSSL VPNクライアント、SoftEther VPN サーバー、VPNルーターなどのサービスが開かれていることが確認できました。

このように確認された多くのVPN IPは、必要に応じてわざと開いた場合もあるでしょうが、管理者だけがアクセスしなければならないVPN IPの場合、攻撃者の攻撃に脆弱なところがある可能性があります。

Criminal IPから検知されたVPNが含まれているIPの国家統計

 

Criminal IPで確認した外部流出される企業のIPVPNサーバー

下表は企業の情報資産リストの中でセキュリティ担当者が管理しているVPNの資産リストであり、外部にVPN IPが流出されているかCriminal IPで確認した結果です。

Criminal IPが検知した企業の情報資産リストの中でのVPN資産リスト

 

Criminal IPが検知した企業の情報資産リストの中でのVPN資産リスト

その結果、セキュリティ担当者が管理しているVPNサーバーの中で、xxx.xxx.xxx.251のIPが外部に流出されていることが分かりました。

そのVPNの認証画面は、特定のグループに限って表示されるページであるにも関わらず、IP情報さえ知っていれば誰でも接続できる状態です。なので、攻撃者はブルートフォース攻撃により簡単に認証権限を得て許可されたルーティング情報で内部ネットワークまで攻撃することができます。

それだけでなく、そのVPNが脆弱な場合、SSL、IPSec などの知られているVPN通信プロトコルを利用したり、あるいはVPN装置のセキュリティ設定の脆弱性を利用したりする攻撃を行うことができます。

 

このようにVPN脆弱性によってセキュリティリスクにさらされている状態を確認したのですから、セキュリティ担当者は直ちに保護措置を行わなければなりません。

保護措置は、大きく6つに分けて、置かれている状況に適切な措置を段階的に進むべきです。

 

もしCriminal IPを利用すると、保護対象を検知し、保護措置を取るのにより速くかつ効果的に対応できます。

 

(1) VPN認証ページが流出しないようにします。

(2) VPN認証ページに2FA(2-factor authentication、2要素認証)の認証を適用及びデフォルトパスワードを変更します。

(3) VPNソフトウェアを常に最新バージョンにアップデートします。

(4) また、許可したVPN認証ページで、異常IP、あるいは業務以外の時間帯で行われる認証の試みをVPNログを通じて確認します。

(5) VPNサーバーにVPNと関係ないサービスが設置されないようにします。

(6) 周期的なセキュリティ教育を行い、セキュリティ担当者のセキュリティ意識を向上させます。

 

ここまで、セキュリティ担当者が外部流出されたVPN IPを探し、脆弱性を点検してどう保護措置をとるべきかについて調べました。