VPNはサイバー攻撃を助長しているのか? ネットワーク機器の深刻なパラドックス:Cybersecurity Dive(2/2 ページ)
今後もVPNがなくなることはない
ゼロデイ攻撃や脆弱性の悪用を目的としてセキュリティ機器やサービスを標的とする脅威グループは、ネットワークセキュリティアーキテクチャに存在する弱点を熟知している。
サイバーセキュリティ事業を営むMandiant Consultingのチャールズ・カーマカル氏(最高技術責任者)は、2024年に開催されたカンファレンス「RSA Conference」のメディアブリーフィングで「ファイアウォールやルーター、VPN、VMwareのハイパーバイザーは、通常EDRでは対処できない」と話す。
カーマカル氏によると、EDRでは管理者がデバイスにログインし、OSのコマンドラインを確認したり、システム内のファイルを閲覧したりできないという。この欠点により、被害を受けた組織が、自社のデバイスに対する侵害やマルウェアの展開を発見することが極めて困難になるのだ。
VPNやルーター、ファイアウォール向けのEDR製品は存在しない。ハンスロヴァン氏は「組み込み機器の上で何かを実行するのは極めて困難であり、リソースも限られている」と述べた。
これらの軽量デバイスは、極めて効率的にデータを処理するために設計されており、この分野のベンダーは、自社のキットやシステムでサードパーティー製のソフトウェアを実行することを許可していない。
Rapid7のSVP兼主任科学者であるラジ・サマニ氏は「これらのデバイスにエージェントをインストールするのは困難だ。開梱してインシデント対応もできない。それが標的にされる理由となっている」と語る。
パロアルトネットワークスのセキュリティチームUnit42で、コンサルティングおよび脅威インテリジェンス担当上級副社長を務めるサム・ルービン氏は「組織のネットワークに足掛かりを得ようとする脅威グループは検出能力のないシステムで活動している。彼らはネットワークの隅に隠れていて、見えないところにいる」と指摘する。
ファイアウォールやVPN、その他のネットワークエッジデバイスのソフトウェア欠陥を狙う攻撃は絶え間なく発生しており、今後も続くだろう。
しかし、ファイアウォールやVPNがなくなることはない。Deloitteのグローバルサイバーリーダーであるエミリー・モスバーグ氏は「ファイアウォールやVPNはあまりにも定着している。企業ネットワークセキュリティの未解決の問題は、エッジデバイスとその監視やエンドポイント検出の欠如よりも深刻だ」と述べる。
「ある意味、EDRの導入は対症療法であって、核心的な原因により重点を置いているわけではない」(ハンスロバン氏)
ネットワーク境界のアーキテクチャとセキュリティプロセスの確立された枠組みは、防御者を常に不安な状態に追いやっている。脅威グループの創造性と持続性は、これらのシステムの穴を見つけ、その弱点を食い物にすることによって、被害者の環境をより深くコントロールしようとする。
「アップデートされるかどうか、まだ製造中止になっていないかどうか、メーカーがまだ営業しているかどうかは別として、ハードウェアの問題はアップデートが非常に難しいことだ」とMicrosoftの脅威情報戦略担当ディレクターであるシェロッド・デグリッポ氏は語る。
「私たちはこれに対するより良い解決策を見つけなければならない。ただし、残念ながら企業はこれらのデバイスのアップデートという難しい側面を掘り下げていかなければならないと思う」(デグリッポ氏)
(注1)Ivanti customers confront new zero-day with suspected nation-state nexus(Cybersecurity Dive)
(注2)CVE-2025-0282 Detail(NIST)
(注3)Ivanti Connect Secure attacks part of deliberate espionage operation(Cybersecurity Dive)
(注4)CVE-2023-46805(CVE)
(注5)CVE-2024-21887(CVE)
(注6)Barracuda zero-day vulnerability exploited for 7 months before detection(Cybersecurity Dive)
(注7)Cisco warns actively exploited CVE can lead to DoS attacks against VPN services(Cybersecurity Dive)
(注8)CitrixBleed worries mount as nation state, criminal groups launch exploits(Cybersecurity Dive)
(注9)Fortinet zero-day attack spree hits at least 50 customers(Cybersecurity Dive)
(注10)Ivanti pledges security overhaul after critical vulnerabilities targeted in lengthy exploit spree(Cybersecurity Dive)
(注11)5 Juniper CVEs actively exploited in the wild(Cybersecurity Dive)
(注12)Palo Alto Networks warns firewall exploits are spreading(Cybersecurity Dive)
(注13)SonicWall firewall CVE exploits linked to ransomware attacks(Cybersecurity Dive)
(注14)CitrixBleed worries mount as nation state, criminal groups launch exploits(Cybersecurity Dive)
(注15)Comcast’s Xfinity discloses massive data breach linked to CitrixBleed vulnerability(Cybersecurity Dive)
(注16)CISA warns chemical facilities of potential data theft(Cybersecurity Dive)
(注17)Remote-access tools the intrusion point to blame for most ransomware attacks(Cybersecurity Dive)
(注18)Known Exploited Vulnerabilities Catalog(CISA)
関連記事
話題のDDoS攻撃もこれで安心? 無料で始めるワンステップ先のセキュリティ対策3選
毎年2月は「サイバーセキュリティ月間」です。IPAの「情報セキュリティ10大脅威」で触れられている脅威に対抗し、組織全体のセキュリティを強化するきっかけとして、今回は今すぐできて、しかも“無料”の対策を紹介します。
OpenAIユーザーの認証情報2000万件が漏えいか? 脅威アクターが主張
OpenAIユーザーのログイン認証情報2000万件以上がダークWebで販売されていることが判明した。OpenAIはこのインシデントに関して深刻に受け止めており、現在、詳細な調査を進めている。
なぜDMARCの導入は進まないのか? 企業が抱えるホンネが明らかに
リンクは、Googleによる「メール送信者ガイドライン」改訂から1年が経過したことを受け、企業の対応状況やDMARCの導入実態を調査した。この調査からDMARCを導入していない企業のホンネが明らかになった。
ChatGPTにマルウェアを作らせる 新たな脱獄手法「Time Bandit」の詳細
ChatGPTの新たな脱獄手法「Time Bandit」が発見された。時間的混乱を利用することで、マルウェアの開発方法など、本来提供されるべきでない情報を引き出すことが可能とされている。
© Industry Dive. All rights reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- AIはERPを駆逐するのか? 第三者保守ベンダーが主張する「ERPパッケージという概念の終焉」
- 三菱UFJ銀行もサイバーセキュリティの合弁会社を設立へ GMOイエラエらと
- フィッシングフレームワークで多要素認証を回避 DNS分析で分かった攻撃の詳細
- 日本企業のフィジカルAI実装は進むか ソフトバンクと安川電機が協業
ITmediaはアイティメディア株式会社の登録商標です。