Chatwork Creator's Note

ビジネスチャット「Chatwork」のエンジニアとデザイナーのブログです。

ビジネスチャット「Chatwork」のエンジニアとデザイナーのブログです。

読者になる

VPNの侵害事例と認識のアップデート

プロダクトセキュリティ部の西川(id:cw-nishikawa)です。

この前、息子と映画を観に行ったら観客は私たちしかいませんでした。うれしいと同時に心配になりますね。

さてさて、セキュリティの社内教育というのもプロダクトセキュリティではやっていかないといけないことのひとつです。 Chatwork社内では「VPNでアクセス制限かけていれば安心だよね?」という雰囲気が一部であり、それを払拭するための文書を作成したところ 反響がありましたので、公開用の簡易版を書いていきたいと思います。

VPN突破事例

被害にあっているケースは探せば探すほど見つかりますが、最近では大きなところで下記2件が有名ですよね。

www.nikkei.com

www.asahi.com

脆弱性がVPN装置に存在すると、このように不正アクセスの起点になり、VPN経由でアクセスできるサーバなどが危険に晒されてしまいます。

情報は知られている

インターネットに接続されている機器を検索できるCensysなどのサイトでVPN装置に振られているIPアドレスを検索すると、場合によっては自社で使用しているVPN装置の情報が表示されることがあります。攻撃者がこれらの情報を収集していると、今現在は最新の装置を使っていたとしても新たな脆弱性が発見されたと同時に攻撃を仕掛けてくる可能性があり、場合によっては上記不正アクセス事例と同じようなことが発生してしまいます。 もちろん脆弱性が放置されている場合においても同様のことが発生しうるので、VPN装置の脆弱性情報のウォッチや更新は必須です。

攻撃者の心理

「VPNさえあれば安全だ」と一般の人が捉えているのとは逆に、攻撃者は「VPNさえ突破してしまえばやりたい放題」と考えているかもしれません。 また、VPN装置や認証情報が安全に管理されていたとしても、VPNに接続するデバイスがマルウェアに感染してしまうと、同様にVPN経由でアクセスできるサーバなどが危険にさらされる可能性があるのでエンドポイントだけではなく、その経路を狙っているということも忘れてはなりません。

ゼロトラストの考え方

概略になってしまいますが、たとえば、VPNが突破されたとしても、その先のシステムに脆弱性が存在しなければ攻撃者はそれ以上進むのには時間が掛かったり、難しくなったりします。 一方、「VPNさえあれば安全だ」と考えている場合、その先のシステムには脆弱性が放置されている可能性が高く、放置されたままになっていると簡単にシステムを乗っ取ることができるかもしれません。

ゼロトラストという考え方では、極端な言い方をすると、VPNがあろうがなかろうが、アクセスしてくる主体が誰であれ何であれ、脆弱性を放置することは許されません。 また、「信頼できるネットワーク」というものは存在しないため、ネットワークの通信が誰かに盗聴されている可能性も考慮し、暗号化は必ずおこなわなければなりません。

上記のように、前提を「信用/信頼しないこと」と置き換えることにより、セキュリティを維持していく"概念"がゼロトラストであると私は認識しています。

前提を「信用/信頼しないこと」に置き換えることにより、VPNがあろうがなかろうが、アクセス制限があろうがなかろうが、その先にある機器をセキュアに保つ必要性を理解できるようになるのではないでしょうか。

まとめ

上記をふまえ、VPN接続しているから安全という考え方は今すぐやめ、VPNのその先にあるシステムにおいても適切に脆弱性を管理し、アップデートをおこなえる体制を築いていく必要があるということを社内では共有いたしました。セキュリティを普段から意識している人にとってみては当たり前のことでも、意外とそうではないこともあるので、この話に限らず自分達の中で当たり前になっていることを組織内で共有してみてはいかがでしょうか。

最後までお読みいただきありがとうございました!

プロダクトセキュリティ部では一緒に働いてくれる仲間を募集しています! hrmos.co