各国政府から企業への警告:ルーターのセキュリティ管理を改善すべき

新たな多国間の勧告が、国家支援の攻撃者が古いプロトコル、デフォルトの認証情報、放置されたネットワーク機器を悪用して重要インフラを侵害し続けていると警告しています。

ロシア政府系の攻撃者がルーターの脆弱性を悪用しているとして、各国の政府系セキュリティ機関は企業に対策の徹底を求めています。

新たな多国間のサイバーセキュリティ勧告によると、サイバー攻撃者は保護が不十分、あるいは設定に不備のあるネットワーク機器を、昔ながらの手口で悪用し続けています。北米、英国、欧州、オーストラリアの19の連邦機関による共同発表によれば、脅威アクターは脆弱な機器(主にルーター)をスキャンし、重要インフラのネットワークを「日和見的に」侵害しているとのことです。

攻撃者はその後、設定ファイルを自らが管理するサーバーへ転送します。これらのファイルには、認証情報や組織のネットワークに関する詳細情報が平文または簡易的な符号化のまま含まれていることが多く、そこにこそ最大の価値があると、Info-Tech Research GroupのシニアリサーチアナリストであるSeva Ioussoufovitch氏は指摘しています。

「単純な手口に聞こえるかもしれませんが、この手法は10年以上前から悪用されており、いまだに効果を発揮していることは明らかです」と同氏は述べています。

SNMP攻撃の仕組み

国家支援型のサイバー犯罪者はまず、機器とネットワーク間の情報交換をサポートする標準的なSimple Network Management Protocol(SNMP)フレームワーク経由でリクエストを送信します。これにより、旧式のSNMPv1やSNMPv2をいまだに使用しており、認証に共通あるいはデフォルトの「コミュニティ文字列」を受け入れてしまう脆弱で安全性の低い機器をスキャンできるのです。これらの文字列は共有パスワードのようなもので、予測可能かつ公開されているデフォルト値が管理者によって変更されないまま残っているケースが多く見られます。さらに、こうした機器の多くは基本的なルーター設定のままになっている場合もあります。

脅威アクターは偽装したIPアドレスを使い、これらの機器上で稼働するSNMPエージェントに指示を出し、設定情報を「config.bkp」や「output.txt」といった名前のファイルにコピーさせた上で、自らが管理する仮想プライベートサーバー(VPS)へ転送させます。加えて、サイバー犯罪者はCiscoの機器や、Ciscoの Smart Install(SMI)ツールに存在する共通脆弱性識別子(CVE)も悪用しています。

勧告によると、攻撃者は少なくともCVE-2018-0171(2018年公開)とCVE-2008-4128(2008年公開)を悪用しています。これらはいずれもCiscoルーターを標的としており、リモートから認証なしで任意のコードを実行したり、不正な操作を行ったり、サービス拒否(DoS)を引き起こしたりすることを攻撃者に許してしまいます。

この手口を使用している主要なグループとしては、セキュリティコミュニティで「Berserk Bear」「Crouching Yeti」「Dragonfly」「Energetic Bear」「Ghost Blizzard」「Static Tundra」として知られる集団が挙げられます。勧告によれば、ロシアの国家支援型サイバーアクターに対して最も脆弱性が高い業界には、通信、エネルギー、金融サービス、防衛産業基盤、医療・公衆衛生施設、政府サービス・施設が含まれています。

2026年になってもなお続く「設定したら放置」の姿勢

ルーターの衛生管理における問題は、セキュリティを運用に落とし込む段階で、こうした機器が企業にありがちな複数の欠陥が重なり合った状態に陥りやすいことにあると、Info-TechのIoussoufovitch氏は指摘します。

「多くの組織は今もルーターに対して『設定したらそのまま放置』という姿勢を取っており、エンドポイントのようには追跡管理していません」と同氏は述べています。

この問題に拍車をかけているのが、ルーターが事業継続に不可欠であることが多く、それゆえにセキュリティを常に最新の状態に保つ必要性が一層高まっているという事実です。さらに事態を悪化させているのが、機器のセキュリティを誰が担当するのかが不明確なケースがある点です。「セキュリティ担当はネットワークチームを指し、ネットワークチームはセキュリティ担当を指す、といった具合です」とIoussoufovitch氏は指摘します。

また、多くの組織は、サポートが終了しているにもかかわらず、事業側が交換を望まないレガシー機器に今も依存し続けています。

結局のところ、「ネットワークセキュリティは、エンドポイントのような従来からの重点分野と同程度の注意を払われていないようです」とIoussoufovitch氏は述べています。

具体的には、各機関はセキュリティチームおよびネットワーク管理者に対し、SNMPv3へのアップグレード、安全なパスワードの徹底、Cisco Smart Installの無効化、そして「ファイアウォールにおいて」SNMPおよび一般的なファイル転送手法をブロックすることを強く求めています。

企業は直ちにSNMPv1およびSNMPv2を無効化すべきです。これらは「レガシープロトコルであり、現行機器ではもはや必要ないはずのもの」だからです。それでもなお必要と判断される場合は、デフォルト設定から切り替え、読み取り専用アクセス(読み書きアクセスは不可)を付与すべきです。

勧告では、SNMPv3を導入する際はauthPrivを「最新の暗号化標準」に設定して利用すべきだとしています。SNMPv3は、これまでのバージョンにはなかった強固な認証とデータ暗号化を追加しており、認証・暗号化のためのパラメータもより安全に符号化されています。

「より強固な認証と暗号化を提供するSNMPv3への移行は、セキュリティチームが今すぐ優先すべき明確かつ実行可能なステップです」とIoussoufovitch氏も同意しています。

各国の政府機関は、企業に対してネットワーク機器上のローカルアカウントに強固で一意なパスワードを使用すること、そして標準的な命名規則に合致しない不審な認証情報や、ログ・侵入検知システム(IDS)内の設定不備を監視することを求めています。ネットワークは多要素認証(MFA)をサポートすべきであり、管理者はSNMPなどの管理プロトコルに対して許可リストを徹底すべきです。

さらに企業は、ネットワーク機器のソフトウェアを更新し、サポート終了(EOL)機器を廃止し、初期設定完了後はすべての機器でCisco Smart Installを無効化すべきだとしています。これは、うっかり有効なまま残ってしまった場合に深刻なセキュリティ問題を引き起こすためだと各機関は説明しています。

ネットワークセキュリティは全面的な改善が必要

今回の勧告は、企業がネットワークセキュリティへの投資を怠っている可能性を示すシグナルだと、Ioussoufovitch氏は指摘します。管理者やセキュリティ責任者は、次のような問いを自らに投げかけるべきだといいます。

  • 十分なネットワーク検知・対応能力を備えているか
  • ネットワークトラフィックのパターンに対して分析や異常検知を適用しているか
  • 個々のルーターがもたらすリスクを抑えるため、企業環境全体にマイクロセグメンテーションを導入しているか

「こうした先手を打つ対策を少なくともいくつか導入し、あわせてEOL機器の追跡と交換により規律を持って取り組むことで、セキュリティチームとネットワークチームは、ようやくこの種の脅威に対して前進し始めることができるでしょう」とIoussoufovitch氏は述べています。

Beauceron SecurityのDavid Shipley氏も、企業向けネットワーク機器のセキュリティは改善が必要だという点には同意しつつ、その責任は重要インフラの事業者よりもむしろベンダー側にあると述べています。ベンダーは初期状態から安全な製品を出荷すべきであり、顧客がわざわざ設定を変更してセキュリティ機能を有効化する必要があってはならないというのです。

同氏はさらに、Salt Typhoonにも耐えうるレベルの機器セキュリティと認証が実現されることを望むと付け加えました。「現状では、彼らがネットワーク機器を乗っ取ることは造作もないことになっています」と同氏は述べています。

今回の指針は重要であり、役立つものであるとしながらも、Shipley氏は「初期状態からより安全な製品を構築し出荷することの方が、さらに大きな効果をもたらすでしょう」と述べています。

翻訳元: https://www.csoonline.com/article/4196447/governments-to-enterprises-improve-your-router-security-hygiene.html

ソース: csoonline.com