古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

AndroidのVPNバイパス脆弱性で見直しを迫られるモバイルVPN対策

ITmedia NEWS のロゴ ITmedia NEWS 2014/05/28 08:00 ITMedia

 米CIAおよびNSAの元職員エドワード・スノーデン氏の内部告発によって、英国政府通信本部(GCHQ)およびその諜報活動のパートナーが長い時間と労力をかけて多数のVPN製品を無効化していたことが明らかになった。NSAが使用したXKeyscoreというツールにはVPNに侵入する機能があると伝えられているが、その詳細はほとんど公開されていない。

 モバイルVPNの脆弱性が注目されるようになったのは、ここ数カ月のことだ。Android端末を使った場合、暗号化されたVPN回線で送信した情報を平文で表示するエクスプロイトの存在が発覚した。このエクスプロイトは、狙った回線の通信内容を全て、攻撃者が指定したサーバで傍受する。

 イスラエルのベングリオン大学サイバーセキュリティラボの研究者が、SMTPの脆弱性を利用するアプリを作成し、上記の現象を再現した。このアプリは、SMTPで送信されたメールをすくい取り、メールが暗号化される前にデータを攻撃者のマシンに転送するというものだった。

 朗報が1つある。米Googleは既に対策用のパッチを端末メーカーに配布している。このパッチは、Android 4.3(Jelly Bean)およびAndroid 4.4(KitKat)に適用できる。イスラエルの研究者たちが調査したのも、この2つのバージョンだ。

 一方、悪い知らせもある。Googleのパートナーである端末メーカーの対応がこれまでの慣例通りならば、その修正用パッチファイルが端末に適用されるまでに数カ月かかりそうだ。

 「情報保護対策が効果を表すには数カ月かかる」と、Googleのパッチの存在について2014年2月にリポートをまとめたサイバーセキュリティラボの主任研究員、デュデュ・ミムラン氏は話す。「それでも、(攻撃への)対策が既に取られていることはとても重要だ。われわれは務めを果たした」(ミムラン氏)

●優れたセキュリティを運用していればVPNも安全

 こんな脅威があったとしても、企業がモバイルVPNを他の脅威とは切り離された独自の問題だと見る必要はない。Android端末対応のエクスプロイトの例で見る限り、データの漏えいはパッチ以外の基本的な防御策でも防ぐことができそうだ。ベングリオン大学のチームが指摘している通り、SSL/TLSを利用した通信は暗号化されていて、平文ではない。これが保護層となって、通信を狙う者の手に情報が渡ることを防いでいる。

 情報漏えいの被害に遭った端末で行った通信が、全てSSLで保護されていたわけではない。また、研究者がこの取り組みに参加したことで、明確になったことがある。社内システムとモバイル端末間でデータをやりとりする場合、データの保護策としてVPNを使うだけでは十分とはいえない。携帯端末が攻撃を受けるとすると、その端末にインストールされている悪意のあるアプリが原因となる場合もある。

 「携帯端末からVPNを利用するのは、PCから利用するのと同程度の安全性だ」と、情報セキュリティを専門とする英MWR InfoSecurityのコンサルタント、ロブ・ミラー氏は説明する。「携帯端末が攻撃を受けると、VPN接続も同様に危険にさらされる。VPN接続は(端末上の)どのアプリケーションも使用する。社内VPNに接続していれば、モバイルアプリと社内ネットワーク(上のリソース)との間で、VPN接続を利用してデータをやりとりできてしまう」(ミラー氏)

 基本的なセキュリティ対策も、もちろん有効だ。端末が異常な状態になった場合に、異常を起こしている原因を収集する機能を持つエンドポイント保護は、シグネチャだけを使用する基本的なアンチウイルスよりも、異常な動作をする悪質なアプリを検出するのに役立つ。しかしVPNバイパスの脆弱性を突くような、手の込んだ攻撃を防ぐにはさらなる制約が必要だ。

 制限を加えるアプリを端末にインストールすると、端末に設定されているパスワードは十分強固なものかどうか、ファイルシステムは暗号化されているかどうかをそのアプリが確認する。「既知の脆弱性がある古いバージョンのAndroid端末を使ってはいけない」と、ミラー氏は付け加える。

 ここまでに取り上げたAndroidの問題は、アプリケーション層に対する脅威だった。こうした脅威への対策としては、アプリをコンテナ化するモバイル端末管理製品も、重要なデータを他のデータと区別して扱うことが容易にできるので有用だ。私用端末の業務利用(BYOD)について、ここまでに挙げた懸案事項を全てカバーするような緻密な規約を設定すれば、社内システムとデータをやりとりしているマシンはどれなのかをIT部門が常に把握できるので、どこにリスクが存在するかを特定できる。

●危機感を失わないための防御策

 VPNのハッキングへ注目が集まることで目立ってきた事実の中で最も明るい材料は、市販の製品で使用されているソフトウェアとプロトコルのセキュリティは維持されているということだ。英グロスタシャー州チェルトナムに本庁を置く経験豊富な諜報機関GCHQですら、暗号化されたVPN通信の解読は容易ではなかったことがスノーデン氏が暴露した情報から判明した。

 Android端末への攻撃は、VPNソフトウェアに直接被害を加えるのではなく、AndroidがVPN接続を扱う際の動作に潜んでいる脆弱性を突くものだった。また、この脆弱性を突くには、悪意のあるアプリが端末にインストールされなければならない。

 モバイルを狙ったマルウェアは検出される確率も非常に低い。米Lookout Mobile Securityの脅威に関する最新のリポートによると、英国では(脅威の中の)5%という。この事実から考えて、モバイル端末への攻撃によって被害を受けることは、現時点では多くないことは明らかだ。

 だからといって、セキュリティ担当者が安心していられるわけではない。現在の傾向として、単純になるべく多くのマシンに被害を与えようとする攻撃者が多いWindowsの状況とは対照的に、モバイルでは標的型攻撃が増加している。

 これは、情報セキュリティ最高責任者(CISO)が賢明で、従業員のモバイル端末の使い方や、従業員の個人情報の中で何が狙われているのかという事情をよく把握していることを表している。諜報機関とベンダーとの共謀や、一般的に広く利用されている製品に対する政府の組織的なハッキングなどを広く世に伝えたスノーデン騒動によって、人々の間に恐怖が広がった。

 「セキュリティ機能を備えたVPNのサプライヤーである企業の多くは、セキュリティの調査と脆弱性への対策に関する施策を公表しなければならない。そうすれば、避けられない不具合が検出された場合に速やかにパッチを適用できるようになる」と、米コンサルタント企業Sapientのグローバルセキュリティ部門の責任者、トム・ラングフォード氏は提言する。

 「NSAやGCHQのために自発的に『バックドア』を自社製品に設置したかどうかに関して、VPNプロバイダーは明言するべきだ」(ラングフォード氏)

 サプライヤーが提供しているVPNの品質に疑問を感じたり、サプライヤーのサービスそのものに疑念を感じたりした場合は、セキュリティの管理者は他社への移行を検討するといい。

 「サプライヤーが持っている技術と、それが自社にどの程度役に立つかに注目してほしい。そしてそのサプライヤーの評判や料金で自社に最適なものを選ぶ。選択肢は豊富にある」と話すのは、IT調査会社英Quocircaのセキュリティアナリスト、ボブ・タージー氏だ。

 これは、ジグソーパズルのようにきっちりと組み合わせて構築していく、企業の社内ITサービスのあらゆる面に応用できるアドバイスだ。

 「諜報機関が本気でハッキングしてきたら、どんなテクノロジーを使っていてもセキュリティは破られてしまうだろう」と同氏は付け加える。「それでもセキュリティは、やらないよりはやった方がずっとましだ。セキュリティ対策を全く施していない組織は最も狙われやすい標的だ。どんなプラットフォームやネットワークを採用していても、それは変わらない」(タージー氏)

ITmedia NEWSの関連記事

image beaconimage beaconimage beacon