2014年05月28日 08時00分 UPDATE
特集/連載

修正パッチの適用は数カ月後!?AndroidのVPNバイパス脆弱性で見直しを迫られるモバイルVPN対策

Androidの脆弱性を突いて、VPNの通信内容を攻撃者のサーバに平文で送信してしまうエクスプロイトが発見された。IT管理者が取るべき対策とは?

[Tom Brewster,Computer Weekly]
Computer Weekly

 米CIAおよびNSAの元職員エドワード・スノーデン氏の内部告発によって、英国政府通信本部(GCHQ)およびその諜報活動のパートナーが長い時間と労力をかけて多数のVPN製品を無効化していたことが明らかになった。NSAが使用したXKeyscoreというツールにはVPNに侵入する機能があると伝えられているが、その詳細はほとんど公開されていない。

Computer Weekly日本語版 5月21日号無料ダウンロード

0521_120.jpg

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 5月21日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。


 モバイルVPNの脆弱性が注目されるようになったのは、ここ数カ月のことだ。Android端末を使った場合、暗号化されたVPN回線で送信した情報を平文で表示するエクスプロイトの存在が発覚した。このエクスプロイトは、狙った回線の通信内容を全て、攻撃者が指定したサーバで傍受する。

 イスラエルのベングリオン大学サイバーセキュリティラボの研究者が、SMTPの脆弱性を利用するアプリを作成し、上記の現象を再現した。このアプリは、SMTPで送信されたメールをすくい取り、メールが暗号化される前にデータを攻撃者のマシンに転送するというものだった。

 朗報が1つある。米Googleは既に対策用のパッチを端末メーカーに配布している。このパッチは、Android 4.3(Jelly Bean)およびAndroid 4.4(KitKat)に適用できる。イスラエルの研究者たちが調査したのも、この2つのバージョンだ。

 一方、悪い知らせもある。Googleのパートナーである端末メーカーの対応がこれまでの慣例通りならば、その修正用パッチファイルが端末に適用されるまでに数カ月かかりそうだ。

 「情報保護対策が効果を表すには数カ月かかる」と、Googleのパッチの存在について2014年2月にリポートをまとめたサイバーセキュリティラボの主任研究員、デュデュ・ミムラン氏は話す。「それでも、(攻撃への)対策が既に取られていることはとても重要だ。われわれは務めを果たした」(ミムラン氏)

優れたセキュリティを運用していればVPNも安全

 こんな脅威があったとしても、企業がモバイルVPNを他の脅威とは切り離された独自の問題だと見る必要はない。Android端末対応のエクスプロイトの例で見る限り、データの漏えいはパッチ以外の基本的な防御策でも防ぐことができそうだ。ベングリオン大学のチームが指摘している通り、SSL/TLSを利用した通信は暗号化されていて、平文ではない。これが保護層となって、通信を狙う者の手に情報が渡ることを防いでいる。

 情報漏えいの被害に遭った端末で行った通信が、全てSSLで保護されていたわけではない。また、研究者がこの取り組みに参加したことで、明確になったことがある。社内システムとモバイル端末間でデータをやりとりする場合、データの保護策としてVPNを使うだけでは十分とはいえない。携帯端末が攻撃を受けるとすると、その端末にインストールされている悪意のあるアプリが原因となる場合もある。

 「携帯端末からVPNを利用するのは、PCから利用するのと同程度の安全性だ」と、情報セキュリティを専門とする英MWR InfoSecurityのコンサルタント、ロブ・ミラー氏は説明する。「携帯端末が攻撃を受けると、VPN接続も同様に危険にさらされる。VPN接続は(端末上の)どのアプリケーションも使用する。社内VPNに接続していれば、モバイルアプリと社内ネットワーク(上のリソース)との間で、VPN接続を利用してデータをやりとりできてしまう」(ミラー氏)

 基本的なセキュリティ対策も、もちろん有効だ。端末が異常な状態になった場合に、異常を起こしている原因を収集する機能を持つエンドポイント保護は、シグネチャだけを使用する基本的なアンチウイルスよりも、異常な動作をする悪質なアプリを検出するのに役立つ。しかしVPNバイパスの脆弱性を突くような、手の込んだ攻撃を防ぐにはさらなる制約が必要だ。

 制限を加えるアプリを端末にインストールすると、端末に設定されているパスワードは十分強固なものかどうか、ファイルシステムは暗号化されているかどうかをそのアプリが確認する。「既知の脆弱性がある古いバージョンのAndroid端末を使ってはいけない」と、ミラー氏は付け加える。

 ここまでに取り上げたAndroidの問題は、アプリケーション層に対する脅威だった。こうした脅威への対策としては、アプリをコンテナ化するモバイル端末管理製品も、重要なデータを他のデータと区別して扱うことが容易にできるので有用だ。私用端末の業務利用(BYOD)について、ここまでに挙げた懸案事項を全てカバーするような緻密な規約を設定すれば、社内システムとデータをやりとりしているマシンはどれなのかをIT部門が常に把握できるので、どこにリスクが存在するかを特定できる。

危機感を失わないための防御策

 VPNのハッキングへ注目が集まることで目立ってきた事実の中で最も明るい材料は、市販の製品で使用されているソフトウェアとプロトコルのセキュリティは維持されているということだ。英グロスタシャー州チェルトナムに本庁を置く経験豊富な諜報機関GCHQですら、暗号化されたVPN通信の解読は容易ではなかったことがスノーデン氏が暴露した情報から判明した。

 Android端末への攻撃は、VPNソフトウェアに直接被害を加えるのではなく、AndroidがVPN接続を扱う際の動作に潜んでいる脆弱性を突くものだった。また、この脆弱性を突くには、悪意のあるアプリが端末にインストールされなければならない。

 モバイルを狙ったマルウェアは検出される確率も非常に低い。米Lookout Mobile Securityの脅威に関する最新のリポートによると、英国では(脅威の中の)5%という。この事実から考えて、モバイル端末への攻撃によって被害を受けることは、現時点では多くないことは明らかだ。

 だからといって、セキュリティ担当者が安心していられるわけではない。以下のような懸念材料が存在するのだ。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news147.jpg

マイクロアド関連会社、上海発の訪日クルーズ船内で日本の商品を販促
マイクロアド・インバウンド・マーケティングは中国の訪日クルーズ船と提携し、上海から...

news136.jpg

「KANADE DSP」が機械学習を活用してコンバージョン獲得コストの自動最適化機能を強化
京セラコミュニケーションシステムは「KANADE DSP」において、コンバージョン獲得コスト...

news131.jpg

日本のマーケターはプログラマティックとソーシャルに積極的、AdRollが調査
AdRoll日本法人は、日本のプログラマティック(運用型広告/データに基づくリアルタイム...