「VPN機器の脆弱性」とは？

Zero Trust Network Access (ZTNA) ソリューションのプロモーションで語られる「VPN機器の脆弱性」という単語は、何を意味していて、何がが由来なのでしょうか？Cloudflareの発表資料を元に少し深堀をしてみました。

Cloudflareの関連情報には、何が書かれているのか。

概要

米国で最も利用されているSSL-VPN技術で実現されたリモートアクセスVPNソリューションの「Ivanti Connect SecureとIvanti Policy Secure」のハッキング（日本の技術者はクラッキングと分類する）が相次いだため、CISAから緊急指令が発令され、政府機関は代替ソリューションを検討しはじめたようです。

• Ivanti VPNのハッキングが続き、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は緊急指令を発するに至りました。
  • 対象利用者：CISA指令の影響を受ける連邦政府機関や、指令の推奨軽減処置を実施するあらゆる機関
  • 脆弱なVPNソリューション：Ivanti Connect SecureとIvanti Policy Secure
  • 代替VPNソリューション： Cloudflare Zero Trust Network Access (ZTNA)

それによって、Zero Trustソリューションベンダーが一斉に移行ソリューションとして「ZTNA」の提案を開始したようですね。

Cloudflareの「VPN機器の脆弱性」に近い情報は、これ？

Cloudflareから発信された類似情報を調べると以下のものが関連性が高いようです。

これらの記事から気になるワードを抽出

• 「VPN Vulnerabuility」とその直訳の「VPNの脆弱性」
  • Need Help Eliminating VPN Vulnerabilities Immediately?
  • 今すぐVPNの脆弱性を排除するための支援が必要ですか？
• CISA指令 / CISA’s directive
  • Cybersecurity and Infrastructure Security Agency
  • 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁

気になった点

• CISA発表資料では、狙われたのベンダー情報などは未記載だが、Cloudflare公開情報では「CISA指令」や「Ivanti VPN」など踏み込んだ用語を使用している。
  • 米国政府関連組織で、Ivanti Connect SecureやIvanti Policy Secureの利用が多かったんでしょうかね。
• 最近注目されている脆弱性は、2024/01/31に公開された「CVE-2024-21893」のようです。
  • 2019/05/08に公表された「CVE-2019-11510」
  • 2020/04/06に公表された「CVE-2020-11580」「CVE-2020-11581」「CVE-2020-11582」

Cloudflareによる代替VPNソリューションの提案

代替VPNソリューションの提案要旨

• リモートワークの増加による、過負荷解消
• リモートアクセスVPNのVPNサーバーが攻撃の対象になって、増加するリスクの解消
• VPN認証情報を持っているアカウントのアクセス権限を制御（Zero Trust）
• 管理者やユーザーの操作性改善

「VPN機器の脆弱性」という日本語訳の違和感！？

Cloudflareからの発信情報では、「VPN機器の脆弱性」という日本語訳につながる強い言葉は、見当たりません。Cloudflareは「技術的に適切な情報発信を心がけている企業」という印象を持っています。

「VPN機器の脆弱性」という言葉が使われているのは日本国内限定なのでしょうかね。

NSAとCISAによる共同発信情報

では、実際CISAはどのような情報発信をしているのでしょうか？リモートアクセスVPNに用いるVPN製品の選び方などをまとめているこちらの情報が該当するものと思われます。

• NSA, CISA Release Guidance on Selecting and Hardening Remote Access VPNs （2021/09/28） NSA、CISAは、リモート アクセス VPN の選択と強化に関するガイダンスを発表
  • Selecting and Hardening Remote Access VPN Solutions / リモート アクセス VPN ソリューションの選択と強化 (PDF)
    • 少し用語を抽出しました。
      • VPNは、標準化されたIKE/IPsecを推奨する。
      • ベンダーのドキュメントをよく読む。
      • VPNを確立する方法は、標準化された方法を選ぶ。独自方法は選ばない。
      • SSL/TLS技術を使用しているものは選ばない。
      • FIPSで承認された暗号アルゴリズムを使用して構成できること
      • 弱い認証は無効にできること。
      • 多要素認証の利用を検討する。
      • ソフトウェアコンポーネントリストを入手して、新しいモジュールを使っていることを確認する。
      • 接続デバイスの整合性を検知する機能を有すること。
      • など、詳しくは原本をご確認ください。
  • National Information Assurance Partnership (NIAP)：Product Compliant List: 241 Matches / 製品準拠リスト (HTML)
• Preventing and Eradicating Cyber Threats

これらのVPNや脆弱性に関連するワードを抽出

「SSL-VPNの脆弱性」が「米国の国家レベルの安全保障」にかかわる事態となっている。

• NSA
  • National Security Agency
  • 国家安全保障局
• CISA
  • Cybersecurity and Infrastructure Security Agency
  • 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁
• remote access VPN / リモート アクセス VPN
• VPN server / VPNサーバー
• vulnerable VPN devices / 脆弱なVPNデイバス
• validated VPN products / 検証済み VPN 製品
• VPN products / VPN 製品

最優先の推奨事項

• 標準化されたIKE/IPsecが利用できるVPN製品を使用
• 多要素認証などの強力な認証方式の採用
• パッチやアップデートの迅速な適用
• VPN に関連しない機能を無効にして VPN の攻撃対象領域を削減する

「VPN機器の脆弱性」という日本語訳の違和感！？

NSAやCISAの情報発信が「VPN機器の脆弱性」という日本語訳の語源であるならば、"VPN"について言葉の定義も含めて、丁寧に説明されています。漠然と「VPN機器の脆弱性」を想起するような強い言葉は、見当たりません。

• 懸念されているVPN技術：各社独自仕様で展開されるSSL-VPN技術
• 懸念されるVPN製品：各社独自仕様で展開されるSSL-VPN製品
  • 基本は、サーバー型ソフトウェア。
  • ハードウェア暗号処理エンジンを搭載した装置、サーバーアプリケーション、クラウドアプリケーションもあるかも。
• 主たる用途：remote access VPN （リモート アクセス VPN）

「VPN機器の脆弱性」からは、「VPNと名の付くものは、すべて即刻使用を中止せよ！」のような強い強迫観念を感じていました。VPN技術も、VPN用途も、VPN製品もとても多様で、脆弱性も、安全性も、それぞれです。本当にそんな意図なのかな？そんな画一的なのかな？用語選びは適切なのかな？という違和感がありました。

原典と思われる文書を確認してみたら、誤解されないようにとても丁寧で、示唆に富んでいるようでした。

約30年前に「目の前の事象を鵜吞みにせず、自分の目で原典に当たれ！」（みたいな）アドバイスを受けたことを思い出しました。

• たとえば、「10BaseT」と「10BASE-T」は、どちらの表記が正しい？適切？みたいな。
  • だって、●●さんがそう書いてるじゃん！→間違っている可能性は否定できない。弘法も筆の誤り。
  • 検索のヒット数？→間違っている可能性あり！
  • 目の前にある規格書らしい文書？→間違っている可能性あり！
  • そもそも、その規格を定義した組織からの発表資料？→正しい

NSAとCISAの発表資料から感じたこと

「独自仕様よりも、標準化された仕様を採用した製品を選ぶべき」というセキュリティー視点のポリシー（知見）を感じました。

企業がソリューションを売り込むとき、「独自仕様」を展開して、差別化したくなります。

利便性を高める機能であれば、それはとても有益でしょう。

しかし、本件の話題のようなセキュリティー機能に関するものは、どうあるべきなのでしょうか？

独自仕様でセキュリティー技術を使って作った製品は、それにかかわる人数や知恵は、限定的にならざるを得ません。安全性も未知数です。

標準仕様を元にセキュリティー技術を使って作った製品は、その技術仕様に関わる世界中の研究者、技術者、そしてその技術を使って製品を作る技術者、とてもたくさんの人が関わって、安全性や利便性を高める工夫を続けています。兵十ン仕様は、それに関わる人が多ければ多いほど、最もセキュリティーが高い仕様となっていくんです。

安全性を重視する場合、多くの人の目が届いた標準仕様は、人類の知恵の結晶で、とても高い価値なのだとだと改めて感じました。

モノづくりは、標準仕様を採用するところ、独自仕様を採用するところ、うまいこと使い分けるのがよさそうです。

日本向けニュース情報 (英文ニュースの日本語訳)

媒体によって、様々な日本語訳が展開されています。技術を伝える媒体（専門家、専門誌）は、それぞれのバックボーンを感じながらも、適切な日本語選びをしている印象です。一般紙的な媒体については、ノーコメントで。

• 2021/09/28 (IoT OT Security News) NSA / CISA 警告：ハッカーたちに対抗するための VPN チップスとは？
  • ニュースを切っ掛けに、背景情報や関連情報も付記され、客観的俯瞰的な説明（知見）がとても参考になる。

  • あらゆる局面で、第一防衛ラインとしてネットワーク境界を守る VPN は、「北米の VPN 市場：まもなく 700億ドル規模に達する」にもあるように、ビジネスとしても順調に成長しているようです。ただ、そこだけに頼ると、Fortinet や Pulse Secure のインシデントのように、大きな被害を被ることになりかねません。VPN に頑張ってもらいつつ、ゼロトラストへと向けて、ゆっくりと進んでいくのでしょう。

• 2021/09/30 (TECH+)  VPNをサイバー攻撃から守るためのガイダンス公開 - 米CISAとNSA
  • 技術の視点で、ニュースを伝えるスタンスです。原典へもアクセスしやすい。
• 2021/10/02 (ITmedia エンタープライズ)  VPN製品の選定における「正解」は？　米国のセキュリティ専門機関が情報シートを共同公開
  • ニュースを会員に向けて伝えるスタンスです。
• 2021/10/13 (@IT) どのVPNを選び、どうやってセキュリティを強化するか、米NSAとCISAがガイダンスを公開
  • 技術の視点で、ニュースを会員に向けて伝えるスタンスです。
• 2021/10/27 (PNC 技術者ブログ)  米国NSAとCISA、VPNをサイバー攻撃から守るためのセキュリティガイドを公開
  • 技術的客観的に、要点が整理されており、読みやすい。

リモートアクセスVPNの脆弱性を伝える媒体

リモートアクセスVPN製品の脆弱性を突いたクラッキング（ハッキング）の具体例として、様々な情報に引用される脆弱性情報などを集めてみました。クラッキングも経済性が求められるので、主要ベンダーが攻撃対象になりやすいです。

• 脆弱性情報として、引用されることが多い SSL-VPN 脆弱性情報
  • Pulse Connect Secure (Pulse Secure社 → Ivanti社)

    National Vulnerability Database(NVD)		Japan Vulnerability Notes(JVN)
    (2019/05/08)	CVE-2019-11510	(2019/10/18)	JVNDB-2019-004411
    (2020/04/06)	CVE-2020-11580	(2020/04/23)	JVNDB-2020-003761
    (2020/04/06)	CVE-2020-11581	(2020/04/23)	JVNDB-2020-003762
    (2020/04/06)	CVE-2020-11582	(2020/04/23)	JVNDB-2020-003763
    (2020/04/06)	CVE-2020-11582	(2020/04/23)	JVNDB-2020-003763
    (2024/01/12)	CVE-2023-46805	(2024/02/01)	JVNDB-2023-024820
    (2024/01/24)	CVE-2024-21887	(2024/02/01)	JVNDB-2024-001246
    (2024/01/31)	CVE-2024-21888	(2024/02/07)	JVNDB-2024-001923
    (2024/01/31)	CVE-2024-21893	(2024/02/07)	JVNDB-2024-001924

  • FortiOS (Fortinet社)

    National Vulnerability Database(NVD)		Japan Vulnerability Notes(JVN)
    (2019/06/04)	CVE-2018-13379	(2019/06/17)	JVNDB-2018-015565
    (2022/10/18)	CVE-2022-40684	(2023/10/25)	JVNDB-2022-019256
    (2023/01/02)	CVE-2022-42475	(2023/03/30)	JVNDB-2022-004202

  • GlobalProtect Portal または Gateway (Palo Alto Networks社)

    National Vulnerability Database(NVD)		Japan Vulnerability Notes(JVN)
    (2021/11/10)	CVE-2021-3064	(2022/10/31)	JVNDB-2021-014874

• 2020/04/09 (Security NEXT) 「Pulse Connect Secure」に複数脆弱性 - 定例外のアドバイザリを公開
• 2020/04/22 (日経NETWORK) パッチを当てても駄目、テレワークのVPNに潜む致命的な脆弱性の恐怖

  • 脆弱なVPNサーバーが世界で1万4500台

  • Pulse Secure(Ivanti)製品の採用が最も多いのが米国。 次いで日本。

• 2022/08/17 (日経NETWORK) 脆弱性の公表から15分で動き出す攻撃者、知らずに放置する企業の危なすぎる現状