サイバーセキュリティの観点から見たとき、テレワークへの大規模移行にかかわる一番の問題は、ワークステーションのローカルネットワーク環境を会社が管理できなくなることでした。特に危険なのが、従業員の自宅のルーターです。通常はIT担当者の管理下にあるはずのルーターに代わり、自宅のルーターが実質的に会社のネットワークインフラの一部となったのです。シャール・ファン・デル・ウォルト(Charl van der Walt)氏とウィカス・ロス(Wicus Ross)氏は、RSA Conference 2021の『All your LAN are belong to us. Managing the real threats to remote workers(すべてのLANは我らのもの:リモートワーカーに対する真の脅威を管理する)』と題したセッション(英語)で、サイバー犯罪者がルーターを通じて業務用コンピューターを攻撃する手口について発表しました。
従業員の自宅ルーターが大きな問題である理由
業務用コンピューターのOS更新をはじめとする各種設定を、企業のセキュリティポリシーですべてカバーしていたとしても、各家庭のルーターは、企業のシステム管理者の手が届かないところにあります。テレワーク環境では、ほかにどんなデバイスがネットワークに接続しているか、ルーターのファームウェアは最新か、ルーターを保護するパスワードは強力か(または、そもそも工場出荷時の既定のパスワードから変更されているか)、IT部門は知ることができません。
このような管理の欠如は、問題の一部にすぎません。既知の脆弱性を抱える家庭用ルーターおよびSOHO向けルーターは、大量に存在します。こういった脆弱性を利用して、サイバー犯罪者はルーターを完全に掌握し、Miraiのような巨大IoTボットネットを構築することが可能です。乗っ取られた何万台、場合によっては何十万台ものルーターで構成されるボットネットは、さまざまな犯罪目的に利用されます。
その意味で、ルーターというものは実質的に何らかのLinuxディストリビューションが稼働する小型コンピューターである、と認識すべきでしょう。サイバー犯罪者は、乗っ取ったルーターをさまざまな目的に利用可能です。ここでは、RSACでの発表から、二つばかり例を紹介します。
VPN接続を乗っ取る
テレワークする従業員のネットワーク環境の安全を補うため、主に活用されているのが、仮想プライベートネットワーク(Virtual Private Network:VPN)です。VPNを使用した場合、コンピューターと企業インフラとの間でやりとりされるデータは、暗号化された通信チャネルを通じて行き来します。
多くの企業は、スプリットトンネルモードでVPNを運用しています。このモードでは、RDP(Remote Desktop Protocol)接続などを通じて企業のサーバーへ向かうトラフィックはVPN経由で送信され、それ以外のトラフィックは暗号化されていない公共のネットワークを通過します。通常はこれで問題ありません。しかし、サイバー犯罪者がルーターを掌握している場合、犯罪者はDHCP(Dynamic Host Configuration Protocol)ルートを作成し、RDPトラフィックを自分たちのサーバーへ転送することができます。これによってVPNの暗号化を解除できるわけではありませんが、偽のログイン画面を作成し、そこにRDP接続の認証情報を入力させることは可能です。ランサムウェアを操るサイバー犯罪者は、RDPを好んで利用します。
外部OSをロードする
もう一つは、PXE(Preboot Execution Environment)を悪用する方法です。近年のネットワークアダプターは、PXEを使用して、ネットワーク経由でコンピューターにOSを読み込みます。この機能は一般的に無効になっていますが、障害時に従業員のコンピューターのOSをリモートで復元するなどの目的で使っている企業もあります。
サイバー犯罪者がDHCPサーバーを通じてルーターを制御可能になっている場合、犯罪者は、リモートコントロール用に改竄したシステムアドレスを、ワークステーションのネットワークアダプターに送信することが可能です。従業員は実際に何が起きているか知るよしもなく、この動きに気付く可能性は低いでしょう(更新のインストールを促す通知に気を取られていればなおさらです)。その間に、サイバー犯罪者はファイルシステムへのフルアクセス権限を手に入れます。
安全のために
このような攻撃から従業員のコンピューターを保護するには、以下の対策をお勧めします。
- スプリットトンネルではなく、強制トンネルモードを選ぶ。多くの法人向けVPNソリューションでは、例外ありの強制トンネリング(全トラフィックは既定で暗号化チャネルを通過、特定のリソースにのみVPNの迂回を許可)を実施できます。
- BIOS設定でPXEを無効にする。
- フルディスク暗号化を使用してコンピューターのハードドライブ全体を暗号化する(WindowsでBitLockerを使用するなど)。
テレワークやハイブリッドワークを採用する企業でインフラのセキュリティレベルを強化するには、従業員が自宅で使用するルーターのセキュリティを重視することが不可欠です。一部の企業では、自宅ルーターの最適な設定について、テクニカルサポート担当者が従業員の相談にのっています。また、テレワークする従業員には設定済みのルーターを支給し、企業リソースにはそのルーター経由でないと接続できないようにしている企業もあります。これに加え、現代の脅威にはどう対策すべきか、従業員向けにトレーニングを実施することもネットワークセキュリティの基本です。