Tenable ブログ
ブログ通知を受信するCOVID-19 対応策が攻撃対象領域を拡大(英語)
企業が COVID-19 への対応策として急速にリモートワークモデルへの移行を進める中、サイバーセキュリティ専門家はアタックサーフェスの急激な拡大に直面しています。 この記事では、企業の安全を守るために脆弱性管理の観点から考慮すべき内容についてご紹介します。
新型コロナウイルスの感染拡大を受けて、あらゆる規模の組織がテレワーク制度を導入し、多くの従業員を在宅勤務に移行させています。この状況は、サイバーセキュリティ責任者にとってアタックサーフェスの突然の拡大になります。企業は、従業員が現在猛威を振るっている数多くのコロナウイルス関連のマルウェアキャンペーンや詐欺の餌食とならないように対策を講じているだけでなく、従業員を急遽リモートワーカーにするために利用されたツールを注意深く監視していることでしょう。 この記事は、セキュリティチームやシステム管理者、エンドユーザーの皆様を対象として、企業の事業活動を長期間にわたって支えている VPN や SMTP サーバー、Windows リモートデスクトッププロトコル、ブラウザー、ルーターに関するガイダンスを提供することを目的としています。
分散したアタックサーフェスを把握する
企業がリモートワークモデルに移行すると、それが緊急時の一時的な対応か、あるいは優秀な人材の確保と企業の成長を促進させるためのより恒久的なソリューションであるのかに関わらず、アタックサーフェスが拡大します。 リモートワーカーによってアタックサーフェスが分散されるため、管理は困難になり、アタックサーフェスの分散が短期間のうちに行われた場合には特に難しいのですが、全く不可能というわけでもありません。 CISO とシステム管理者は、会社が管理する資産だけでなく、企業のセキュリティ対策の管理と保護の対象外である従業員個人のデバイスによって引き起こされる追加のリスクにも目を向ける必要があります。
VPN とメールサーバーを管理する
リモートで働く従業員は、自らの業務の管理や共同作業のために会社のリソースに接続する必要があります。 VPN で発見された脆弱性、たとえば 2019 年の夏に盛んに悪用された Fortinet や Pulse Secure の欠陥や、今年の 1 月に悪用された Citrix Application Delivery Controller の重大な脆弱性は、仮想の入り口を足掛かりとして企業の他の資産への侵入を試みていた攻撃者にとって格好の標的となりました。
メールで送信される重大な情報の量は増加傾向にありますが、これは従業員がリモートで働くために必要となるリソースが送信されているためです。 もし攻撃者が、メールサーバーに対するアクセス権を短時間であっても取得したとしたら、機密データを窃取される可能性が高くなります。 Simple Mail Transfer Protocol (SMTP) サーバーの脆弱性 (たとえば Microsoft Exchange Server の CVE-2020-0688 や Exim の脆弱性である CVE-2018-6789、CVE-2019-10149、CVE-2019-15846、CVE-2019-16928 など) は、パッチの適用されていないメールサーバーを手早く悪用しようとする攻撃者が真っ先に標的とします。 したがって、メールサーバーにパッチが適用されていて最新であることを確認するとともに、メールを使用して機密データを送信する際のリスクについてユーザーに注意喚起することが重要です。
リモート環境 : Windows リモートデスクトッププロトコル、ウェブブラウザー、ホームネットワーク
従業員が会社にリモートで接続する別の方法として、Windows リモートデスクトッププロトコル (RDP) を介した、企業ネットワーク内の「リモートデスクトップ」へのアクセスもよく利用されます。 長年にわたり、RDP には多くの脆弱性が発見されてきましたが、最も有名なのは BlueKeep です。これは EternalBlue とよく似た認証されていないリモートコード実行の欠陥で、悪用と拡散にユーザーの操作を必要としません。 BlueKeep は Microsoft の 2019 年 5 月の月例セキュリティ更新プログラムによって対策されましたが、2019 年の後半に攻撃に使われました。
リモートワークでの接続には固有のセキュリティ上の問題が付きまとう一方で、デバイスにインストールされたアプリケーションにも独自の欠陥が存在します。 最もよく狙われる標的の 1 つはウェブブラウザーです。 人気のあるブラウザーに脆弱性が含まれているものがあることが明らかとなり、攻撃者によってつい最近 2020 年初めにも悪用されていました。 Internet Explorer と Google Chrome の脆弱性はどちらも 1 月に実際に攻撃に使われ、2 月の終わりには Mozilla Firefox の脆弱性が悪用されていました。 このような攻撃は、企業で利用するブラウザーに最新のセキュリティパッチを適用して、常に最新の状態にしておくことの重要性を強く示唆するものです。
企業ネットワークにどこから接続するかも、同じように重要です。 多くの企業では当然のことながら、信頼されていない公共の Wi-Fi ネットワークに接続しないよう勧告しています。 ホームネットワークを使用する際は、業務用のデバイスが他のデバイスからのアクセスを受けないようにするために、可能であれば LAN または Wi-Fi ネットワークのセグメント化が推奨されます。 モデムやルーターのファームウェアが最新の安全なバージョンに保たれていることを常に確認し、デバイスにおけるベンダー固有の欠陥や、最近発見された Point-to-Point プロトコルデーモンの脆弱性といった脆弱なプロトコルやサービスに対するパッチが確実に適用されていることも確認してください。
まとめ
分散された従業員のリスク管理には時に注意が必要であり、脅威アクターはリモートワークを実行する企業にとって常に大きな問題となります。 企業 VPN を介したリモート接続から、在宅勤務を行う従業員による更なるリスクまで、対処すべき領域は多岐にわたります。 しかし、自社の脅威環境に関する情報を常に把握しておくことで、出現する脅威やサイバーリスクの先を行くことができます。 本ブログ記事で取り上げた脆弱性を特定するための Tenable プラグインのリストは、こちらからご確認いただけます。 特定の脆弱性に関するガイダンスについては、以下のリンク先の記事をご覧ください。
詳細情報
詐欺とマルウェア :
企業資産のリスクとリモートアクセス :
- CVE-2019-11510:Pulse Connect Secureで任意のファイルアクセスを実行するための概念実証
- CVE-2018-13379、CVE-2019-11510: FortiGateおよびPulse Connect Secureの脆弱性を突いた攻撃が確認される
- CVE-2019-19781: Citrix ADC および Gateway におけるリモートコード実行の脆弱性を悪用するスクリプトが公開される
- CVE-2020-0688: Microsoft Exchange Server の静的な鍵の脆弱性により、リモートでコードが実行される
- WannaCry 2.0 : EternalRocks の脆弱性の早急な検出とパッチ適用を
- EximバッファーオーバーフローRCE脆弱性(CVE-2018-6789)– 知っておくべきこと
- CVE-2019-10149:Eximで発見された深刻なリモートコマンド実行の脆弱性
- CVE-2019-15846:Eximにおける認証されていないユーザーによるリモートコマンド実行の脆弱性が公開される
- CVE-2019-16928:Eximの「緊急」のバッファオーバーフローの脆弱性、遠隔からの攻撃に悪用される可能性あり
リモート環境 :
- マイクロソフト、「緊急」の「BlueKeep」脆弱性 (CVE-2019-0708) を月例セキュリティ更新プログラムで修正
- CVE-2019-0708: 「BlueKeep」脆弱性を狙い、仮想通貨マイナーを増やす攻撃が確認される
- CVE-2020-0674: Internet Explorer におけるリモートコード実行の脆弱性の悪用が確認される
- CVE-2020-6418 : Google Chrome における型混乱の脆弱性の悪用が確認される
- CVE-2019-17026: Mozilla Firefox のゼロデイ脆弱性、標的型攻撃で悪用される
- CVE-2020-8597: Point to Point Protocol Daemon(pppd) におけるバッファオーバーフローの脆弱性
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
関連記事
- Vulnerability Management