2022/03/28

管理用ポータルの過剰な露出は厳禁

システム 管理者 MSSP admin

2022 年 3 月 28 日 Corey Nachreiner 著

IT やセキュリティの専門家の誰もが、管理ポータルを必要以上に外部に公開すべきでないことを知っています。しかしそれでも毎年何万ものデバイスやソフトウェア製品において、管理ポータルがインターネット上に公開されている、という新しいデータが発表されます。この記事ではこの傾向を変えるべく、管理ポータルが露出してしまう理由とそれを防ぐ方法について解説します。

NORAD の場合

NORAD の場合


例えば、あなたが米国政府の北米航空宇宙防衛司令部(NORAD)の上官だったとしましょう。NORAD は、基本的に核攻撃から国を守るための機関です(他にも仕事はありますが)。たとえ十分に施錠をするとしても、その中央管理ネットワークコマンドセンターの入り口を配置する場所として、「タイムズスクエアの目の前」を選ぶでしょうか。

「あり得ない」と思うのが普通でしょう。実際 NORAD の上層部はそうしませんでした。NORAD は司令部の 1 つをシャイアン山の地下 2000 フィートに配置しています。そこには軍用レベルの認証を受けた多くのゲートとチェックポイントがある上に、最終的に 25 トンの防爆扉を開けなければいけません。世界で最も安全な施設とも言われています。同様に重要なシステムの中央管理制御を保護するのであれば、一般の目に触れない場所に公開すべきであることは明らかです。

もちろん NORAD は極端な例です。国家組織級に重要で、リスクの高い組織が使用するレベルのセキュリティを必要とするケースは、ほとんどないでしょう。もちろんセキュリティの専門家は当然のことながら、ほとんどの IT 管理者も、「マネージメント」や「管理」と名のつくようなポータルが高価値、かつ高リスクの標的であり、誰もが簡単にアクセスできるようにすべきではないことは認識しているはずです。しかし一見明白なベストプラクティスがあるにもかかわらず、多くの管理者が、おそらく無意識のうちにポータルを必要以上にインターネットで公開しているケースがいまだに散見されます。場合によってはインターネットの全てのユーザに公開していることさえあります。

攻撃者は管理ポートがオープンかどうかを確認できる、と知ることが大事です。このポート情報はインターネット上のあらゆる種類のデバイスから容易にアクセス可能で、攻撃者は外部に公開されているポートを探すために日々インターネットをスキャンしています。

実際、管理インターフェースが外部に公開されていたために発生したセキュリティ侵害や脅威があります。昨年いくつものマネージドサービスプロバイダ(MSP)に影響を与えた Kaseya VSA の大量のランサムウェア攻撃は、その例です。根本的な原因は Kaseya VSA ソフトウェアに存在したパッチ未適用の脆弱性でしたが、この脆弱性は管理用インターフェースから露出していたものです。もし Kaseya の顧客が管理用インターフェースへのアクセスを制限していれば、攻撃者はこれらの欠陥を悪用することはできなかったでしょう。人気のある QNAP ネットワークアクセスストレージ(NAS)デバイスも、やはりオンラインで公開された管理用ポータルを介して同じ目に遭いました。最近発生した Cyclops Blink ボットネットも、Firebox を含むさまざまなネットワーク機器に影響を与えましたが、Firebox の管理インターフェースさえインターネットに公開しなければこれは簡単に回避できたはずです。以上は、事例のほんの一部に過ぎません。

では以下で、管理ポートの過剰な露出を防ぐための推奨事項をいくつか紹介します。

管理者用ポータルサイトの増加
昨今、あらゆるものに管理ポータルが存在するような印象があります。極端に普及してしまったせいで、管理ポータルそのものに対して「疲弊」し、盲点が増加しているのかもしれません。かつて製品の管理接続というのは、独自の方法で行うものでした。特別なシリアル接続やコンソールケーブル、あるいは特別なソフトウェアが管理に必要であることも多かったものです。しかし過去 10 年の間に、Web ベースの管理によってオープンソースの Web サーバを走らせるのと同じように、あらゆるものに管理用ポータルを埋め込めるようになりました。ルータ、スイッチ、ファイアウォールに Web 管理ポータルが組み込まれていることは想像がつくでしょうが、スマートテレビ、プロジェクタ、電話システム、プリンタ、監視カメラ、NAS デバイス、無停電電源装置(UPS)なども同様です。家庭用の安価な犬の自動給餌器や Web カメラでさえ、誰もがログインできるポータルを持っているかもしれません。

さて、以上はハードウェアの例です。多くのソフトウェア製品はポート上のサービスとして、あるいは特別な URL を使って、独自の管理ポータルをインストールして起動します。これらの Web ポータルはあまりにも普遍的なため、その存在を忘れてしまう管理者がいるかもしれません。用心深いベンダであれば、少なくともこれらのポータルをローカルにのみ、何らかの限定的な方法で公開するでしょうが、公開範囲が広すぎるポータルも多くあります。

この問題を解決するための最初のステップは、ネットワーク上で管理用インターフェースを公開している製品を把握してそのポータルがどのように公開されているか(どのポート、どの URL で実行されているか)を知り、ポートや URL を外部には非公開にしてアクセスを制限することです。

あまりにも粗末なデフォルト設定
2 つ目の問題は、特に新しい IOT(Internet of Things)や OT(Operational Technologies)において、粗末なデフォルト設定が未だに存在していることです。すでに広く知られているデフォルトの認証情報を使用している管理ポータルがある、という話はよく耳にします。IT セキュリティ研究者が、大手のソフトウェアやハードウェアベンダに安全でないデフォルト設定のリスクを周知したため、この問題は軽減されているようです。結果、従来のソフトウェアや IT 機器が、より安全なデフォルト設定で出荷されるようになりました。しかし残念ながら、多くの新しい IOT 企業は基本的にコンピューティングの初心者で、過去 20 年間にセキュリティが進化してきた中で、必ずしもその技術に追いついていない場合もあります。現在これらの企業の多くは、数十年前に克服したと思われた、古典的な間違いを犯しています。

新しい製品では、管理ポータルのデフォルトの管理設定と認証情報を必ず確認してください。使用するポータルのデフォルト設定が安全ではない可能性は十分にあります。

リモート管理がニューノーマル
リモートワークとハイブリッドワークは「ニューノーマル」になりました。ここには、IT プロフェッショナルがハードウェアとソフトウェアを管理するためのリモート管理も含まれます。このため、リモート管理は単なる「あったら嬉しい」機能ではなく、「絶対必要」な機能となっています。とはいえ、管理インターフェースをインターネットに直接公開することなく、安全に機器をリモート管理できるのは喜ばしいことです。仮想プライベートネットワーク(VPN)やゼロトラストネットワークアクセスソリューション(ZTNA)を利用すれば、必要に応じて管理インターフェースへの安全なプライベートネットワークアクセスを設定できます。このリモートアクセス接続に多要素認証を追加すれば、信頼できるユーザのみがネットワーク内の管理ポータルにアクセスできるようにする、非常に強力な方法となります。このようなセキュリティレベルまで行かなくとも(行くべきですが)、リモート管理インターフェースを厳密に制限した IP アドレスのアクセス制御リスト(ACL)にのみ公開するようにすれば、インターネットにただ公開するよりもはるかに安全です。

では、何が問題なのでしょうか。なぜ誰もがこれを行わないのでしょうか。

時間が足りない
IT やセキュリティの専門家は解決すべき問題が山積みのため、ポートを適切に管理するために必要な作業を省略して時間を節約する方がいいと考えることがあります。管理ポータルとその使用ポートをすべて見つけ、その仕組みを学び、これらのポートに安全にアクセスするためのセキュアな VPN/ZTNA リモートアクセスを設定するには、ある程度の時間が必要です。ポートを開いて誰でもアクセスできるようにするだけなら、簡単に済みます。この考え方は、会社を大きなリスクにさらすことになります。管理用インターフェースへの限定的で安全なアクセスを用意するには多少の努力が必要ですが、それほど難しいことではありませんし、標準化された多くのソリューションがあります。ただ、それらを導入するために時間をかける必要があるのです。

管理ポートを必要以上に公開することで企業ネットワークに侵入された場合、その対処にかかる時間と労力は、最初に安全なリモートアクセスを設定する場合の何百倍もかかる、ということを覚えておいてください。

基本に立ち返る
IT や情報セキュリティに携わったことのある人なら、この記事はなんら新しい話ではなく、釈迦に説法だと思うかもしれません。しかしこのような管理上の問題は、いまだにあちこちで見受けられるのです。当記事のアドバイスに従うか、あるいは英国の NCSC によるアドバイス、スタンフォード大学のアドバイス [PDF] などを参照し、今年中にすべての管理ポータルを監査し、管理権限を持つべきでないユーザやネットワークにポータルを公開していないか、しっかりと時間をかけて確認してください。確かに、管理用インターフェースには独自の鍵がかかっているかもしれませんが、ハッカーはこのような鍵を突破してくるものです。最後に、Firebox を安全にリモート管理する方法について詳しく知りたい場合は、こちらのナレッジベースの記事を参照してください。