インターネットの誕生以来、ユーザーは接続方法と接続先についての情報を秘匿しようとしてきました。一部には、政府が設けた制限を回避する目的や、特定の地域では利用できないコンテンツにアクセスしたいという動機もあります。
VPN やオニオンルーティング(TOR)などのテクノロジーが人気なのは、これが理由です。これらのテクノロジーを使用すると、ユーザーは自分の IP アドレスや位置情報を明かすことなくコンテンツに簡単にアクセスできます。本来はユーザーと情報を保護するためのテクノロジーであり、確かにその役割を果たしてきました。しかし、これに目を付けた攻撃者が、悪意のある活動にプロキシネットワークを使用しています。
プロキシチェーンサービス
プロキシチェーンサービスには正当な理由があるものも存在するため、区別して考えることが重要です。プライバシーや防御的な観点から見ると、プロキシチェーンサービスは以下のグループに分類できます。
- VPN と TOR:ユーザーの匿名性は確保されますが、防御側は多くの場合、これらのネットワークからリクエストを受信していることを判断できます。その場合、接続元とユーザーの物理的な場所が完全に一致しているとは想定しません。ユーザーは経路や出口ノードを制御できません。
- 住宅用 IP を商業目的で提供するサービス:ユーザーの匿名性が確保されると同時に、出口ポイントをユーザーが選択できます。防御側は、これらのサービスの接続の性質について何の手がかりも得られません。
- 悪意のあるプロキシサービス:攻撃者はこれらのネットワークを使用して自分の居場所を隠し、出口ノードを選択します。複数の接続元から攻撃者が使用できるようにサービスが設定されています。2 種類の形態を取り、さまざまな地域の異なるプロバイダーからリースしたサーバーにノードがインストールされているケースと、侵害したエッジデバイスをノードとして使用して接続を連鎖的に中継するケースがあります。
1 つ目のグループには明らかに正当な使用例があり、2 つ目のグループはマーケティングのエンゲージメントを測定する手段として宣伝されています。ただし、攻撃者もこれらのサービスを使用することができ、帯域幅の所有者は何がリスクにさらされているかを把握できません。3 つ目はわかりやすいケースです。分散型サービス妨害(DDoS)攻撃を行うためにネットワークがレンタルされたり、他の攻撃者が匿名で活動できるようにネットワークへのアクセスが販売されたりします。
歴史
悪意のある目的でプロキシネットワークが利用されていることを最初に発見したのは、Honeygain に関するリサーチを行っていたときでした。プロキシウェアのようなテクノロジーの悪用を Talos で確認したのは、そのときが初めてです。
プロキシウェアは、ユーザーがインストールしたエージェントを使用するタイプのテクノロジーであり、そのユーザーのノードが他のユーザーのプロキシとして機能します。これらのエージェントをインストールするユーザーは通常、プロキシネットワークに自分のノードを追加することで報酬を受け取ります。犯罪者はこれにすぐに目を付け、攻撃に利用し、収益化を図るようになりました。接続元がランダムな場所にあるランダムなコンピュータになるので、このテクノロジーによって匿名性を確保できるという利点があるのです。当初は主に、犯罪に利用できることに焦点が当たっていましたが、国家支援グループは何十年もの間 TOR と VPN を利用して攻撃を展開しています。よくある手口では、標的に近い場所で VPN 接続が切断されます。
国家支援グループは、TOR と VPN には限界があり、活動が露呈する可能性も認識しています。そのため、より不透明で追跡が困難になる手段が必要でした。そこで登場したのが VPNFilter です。
VPNFilter は、国家支援グループが利用した初の大規模プロキシネットワークです。ここで言う国家とは、ロシアです。VPNFilter により、プロキシネットワークの運用方法が完全に変わり、以後数年間は国家支援グループによるプロキシネットワークで用いられる常套手段になると思われました。VPNFilter の最もユニークな点は、小規模オフィスとホームオフィス(SOHO)向けのルータを標的としていた点です。
悪意のあるファームウェアによって侵害された SOHO ルータでネットワークが構成されており、傍受やプロキシなどのさまざまな機能を担っていました。
これはかなり大規模なボットネットでもありました。約 50 万台のデバイスで構成される巨大ネットワークから、騒ぎになることなく攻撃を仕掛けることができました。Talos は影響を受けたベンダーと協力して対応にあたり、幸いにも、脆弱性など、エクスプロイトされていた問題のほとんどは解決されました。
この手のボットネットを利用するロシア系の攻撃グループを確認したのは、これで最後ではありません。数年後、Cyclops Blink の存在が明るみになりました。同じくロシア系の攻撃グループであり、主に消費者向けデバイスで構成されるプロキシネットワークを制御していました。
国家支援グループは、プロキシネットワークを悪用するようになる中で、消費者向けデバイスを主な標的にするようになりました。ユーザーの多くはデバイスをデフォルト設定のまま使用し、滅多にアップデートしようとは考えないので、恰好の標的になります。幸いなことに、VPNFilter 発見後は多くのベンダーが自動更新に切り替えたため、パッチがより頻繁に適用されるようになりました。結果として、国家支援グループの攻撃対象が広がっています。
今や、SOHO ルータだけでなく、NAS やさまざまな IoT デバイスも標的にされ、攻撃グループのネットワークに追加されています。この問題はここ数年の間に悪化しています。
最新情報
最近では 9 月に、中国によるハッキングに関連があるボットネットを FBI が解体
しました。これはプロキシネットワークに起因する相次ぐ攻撃の中でも最新のものです。米国政府の見解によると、この攻撃は Volt Typhoon と大きく関係しており、最近 FBI が解体に追い込んだ事例では、中国に関連した活動であることが広く指摘されています。
現在、プロキシベースのネットワークには、SOHO デバイス(ルータ、NAS など)やさまざまな IoT コンポーネント(セキュリティカメラなど)を重点的に侵害し、ボットネットに追加したものが複数あります。ある意味、Mirai ボットネットの攻撃に似ています。
これらのボットネットの基本的な運用モデルはピアツーピアです。つまり、攻撃経路を特定する術はありません。このモデルでは高度なデバイスネットワークを利用して、どこから攻撃しているかわからなくします。多くの場合、被害者に近い場所(地理的に隣接する住宅用のネットワークなど)から攻撃を受けているように見せかけることができます。
このようなネットワークからの攻撃は、スパイ活動や、米国や世界中の重要インフラを狙った攻撃に関連しているとされています。ほとんどの国が事態の悪化を懸念しており、この分野の大多数のベンダーも注視しています。
また、これらのネットワークは圧倒的な効率で拡大しており、ノードが減れば別の侵害が繰り返されるといった形で、継続的にノードが追加されています。報告によると、これらの感染では多くの場合、N デイ脆弱性や弱いログイン情報を使用してアクセスが取得されています。過去 10 年間、Mirai などのボットネットで繰り返し確認されてきたことです。大きな違いは、Mirai が DDoS 攻撃で使用されるのに対し、新たに繰り返されるこの手法は、国家支援グループが匿名で攻撃を仕掛けるために使用される点です。
Network Resiliency Coalition
N デイ脆弱性と弱いログイン情報が攻撃で繰り返し使用されていることに関連して、シスコはしばらく前から、古く時代遅れのネットワーク機器と、それによりもたらされるリスクについて取り組みを行っています。Network Resiliency Coalition は、この困難な課題の解決を目的としたプロジェクトです。匿名化ネットワークはネットワーク機器に依存しており、特に既知の脆弱性が悪用されているため、この取り組みの重要性は以前よりも増しています。シスコは同業他社と手を組み、攻撃で悪用されている多くのシステムを排除できるよう尽力しており、ベンダーとの協力の下、既知の脆弱性を緩和するための適切なパッチがタイムリーに提供されるように取り組んでいます。
IoT 業界や、NAS などエッジ以外の SOHO アプライアンスを対象としたこのようなプロジェクトが増えれば、匿名化ネットワークとの闘いに貢献できます。これに適切なログイン情報管理を組み合わせ、特にデフォルトのログイン情報を複雑で固有のものにすることで、匿名化ネットワークの拡大を阻むうえで大きな影響を与えることができるでしょう。ベンダーは弱点の解決に取り組んでいますが、防御側が注意を払うことも重要です。
防御側が受ける影響
国家支援グループは主に匿名化ネットワークを利用し続けているため、防御側にとっては問題です。住宅用のネットワークから攻撃が仕掛けられる場合が多々あり、組織が事業を行っている都市や国の住宅用のネットワークが攻撃の発生元である可能性すらあるため、攻撃の検出と特定がさらに困難になります。
どこからでも攻撃され得ること、さらには、従業員が VPN に接続する IP 空間も攻撃の発生元になる可能性を認識したうえで、計画を立てる必要があります。
国家支援グループは正当なログイン情報の使用にさらに重点を置いているため、対策は容易ではなくなってきています。正当なログイン情報を使用した、従業員のものと同じ IP 空間からの接続があった場合、阻止できる見込みはほとんどありません。これが理由で、アイデンティティがさらに重視されるようになりました。組織は、ログイン情報が不正に使用されているのか正当に使用されているのかを、行動に基づいて判断する手順を設ける必要があります。
接続に関しては、ユーザーの行動に注目する必要性が高まっています。
- ユーザーは通常のデバイスタイプを使用しているか(Windows デスクトップ/MacOS ラップトップなど)。
- ユーザーは通常の時間帯にログインしているか(例:月曜~金曜の午前 9 時 ~ 午後 5 時)。
- 管理対象の他のデバイスが近くにあるか。
- ユーザーは管理対象の自分のデバイスを使用しているか。
最後に挙げた点は極めて重要です。ログイン情報の悪用を特に懸念している組織にとっては、管理対象デバイスのアクセス制限が最適な選択肢となる場合があります。
そうすれば、管理対象デバイスのみが証明書などのテクノロジーを用いて会社の VPN に接続できるようになります。
このアプローチのマイナス面は、高額であることや、多くの組織にとって現実的でないことですが、懸念を抱いていて、予算がある組織であれば、多要素認証(MFA)以上の選択肢として検討する必要があります。
お気付きだと思いますが、ここまでで MFA には触れていません。2024 年ということもあり、中規模と大規模の企業であればすでに MFA を導入していると想定されるからです。MFA は、もはやセキュリティ機能のオプションではなくなっています。
防御側は、2024 年に直面し、今後も直面することになる国家支援の脅威に適応する必要があります。適応とは、短期的にはアイデンティティ機能を強化することであり、将来的には、アクセスを管理対象デバイスに制限するなど、セキュリティ対策の強化に目を向けることです。
本稿は 2024 年 12 月 12 日にTalos Group
Authors