海の向こうの“セキュリティ”

リモートアクセスソフトウェアを悪用するインシデント多発、CISAらがセキュア化ガイドを公開

CISAなど関連機関連名による「リモートアクセスソフトウェアのセキュア化ガイド」

 リモートメンテナンスなどに使われる正規のリモートアクセスソフトウェアが、正規のソフトウェアであるため検知されにくいなどの理由から、攻撃者に悪用されるインシデントが多発しています。そのような中、米サイバーセキュリティ・インフラセキュリティ庁(Cybersecurity & Infrastructure Security Agency: CISA)は関連機関と連名で「Guide to Securing Remote Access Software(リモートアクセスソフトウェアのセキュア化ガイド)」を公開しました。CISAと名を連ねているのは以下の4機関です。

  • 米連邦捜査局(Federal Bureau of Investigation: FBI)
  • 米国家安全保障局(National Security Agency: NSA)
  • 米多州間情報共有分析センター(Multi-State Information Sharing and Analysis Center: MS-ISAC)
  • イスラエル国家サイバー総局(Israel National Cyber Directorate: INCD)

 このガイドは、リモートアクセスソフトウェアの正規の使用方法の概要、一般的な悪用方法と関連するTTP(Tactics:戦術、Techniques:技術、Procedures:手順)、およびこのソフトウェアを悪用する悪意のあるアクターの検出と防御の方法などを提供するものです。なお、表紙や目次などを除くと本文は10ページに満たない量でコンパクトにまとまっています。

 今回はこのガイドの中から、リモートアクセスソフトウェアが攻撃者に悪用されないようにする、または悪用されても被害を最小限に抑えるための推奨事項を紹介します。これはCISAと米国立標準技術研究所(National Institute of Standards and Technology: NIST)が策定した「Cross-Sector Cybersecurity Performance Goals(CPG、分野横断的サイバーセキュリティ達成目標)」に沿ったものとなっています。

 まず、リモートアクセスソフトウェアを使用して通常業務を行なっている全ての組織、特にMSP(Managed Service Provider)に対する推奨事項です。

アーキテクチャ、アカウントおよびポリシーに関する推奨事項

- NISTのサイバーセキュリティフレームワークなどの一般的な標準に基づく強固なリスク管理戦略を維持する。

- 可能であれば、エンドポイントまたはIDベースのゼロトラストソリューションまたは最小特権使用(least-privilege-use)の構成を採用する。

- ユーザートレーニングプログラムやフィッシング演習を実施し、疑わしいウェブサイトへのアクセス、疑わしいリンクのクリック、疑わしい添付ファイルの開封のリスクに対するユーザーの意識を高める。

※CISAの「Enhance Email & Web Security」を参照。

- システムの監視を支援することができるセキュリティオペレーションセンター(SOC)チームと連携する。

- Active Directoryを監査し、非アクティブなアカウントや古いアカウント、または設定ミスがないかを確認する。

- リスクのレベルに基づいてジャストインタイムアクセス(just-in-time access ※必要がある場合にのみ一時的にアクセス権を付与すること)や二要素認証を使用可能にする。

- 大量のスクリプティングに対する安全策とスクリプトの承認プロセスを用いる。例えば、あるアカウントが1時間以内に10台以上のデバイスにコマンドをプッシュしようとした場合、多要素認証(MFA)などのセキュリティプロトコルを再トリガーしてアクセス元が正当であることを確認する。

- ソフトウェア部品表(software bill of materials: SBOM)を使用して、ソフトウェア製品内のコンポーネントのインベントリを管理する。SBOMの詳細についてはCISAの「Software Bill of Materials (SBOM)」を参照。

- 外部攻撃対象領域管理(External Attack Surface Management: EASM)を活用し、システムやインフラ全体の可視性を高める。EASMは継続的な監視を提供することで、未知の資産を特定し、システムに関する情報を提供するとともに、非準拠の技術、法的免責事項の欠落、著作権表示の期限切れを特定することによってコンプライアンスを支援する。

ホストベースの制御

- ネットワーク上のデバイスのリモートアクセスソフトウェアとその設定を監査し、現在使用されているRMM(Remote Monitoring and Management)ソフトウェアや許可されたRMMソフトウェアを特定する。

- セキュリティソフトウェアを使用して、メモリ内のみにロードされているRMMソフトウェアのインスタンスを検出する。

- リモートアクセスソフトウェアの実行に関する完全なデータ(実行バイナリ、リクエストタイプ、IPアドレス、日時など)を含むログを確認し、ポータブル実行可能ファイル(Portable Executable: PE)として実行されているプログラムの異常な使用を検出する。

- ゼロトラスト原則やセグメンテーションなどのアプリケーション制御を実装して、RMMプログラムの許可リストへの登録やソフトウェアが実行できるアクションの制限など、ソフトウェアの実行を管理および制御する。

- パッチ適用頻度を定期的なものに設定し、リモートアクセスおよびリモート管理のサーバーやエージェントなど、インターネットに直接アクセスする、またはインターネットから直接アクセスされるソフトウェアやシステムを優先する。

ネットワークベースの制御

- ネットワークのセグメンテーションを実施し、ラテラルムーブメント(水平展開)を最小限に抑え、デバイスやデータ、アプリケーションへのアクセスを制限する。

※CISAの「Layering Network Security Through Segmentation」を参照。

- 一般的なRMMポートおよびプロトコルのインバウンドおよびアウトバウンドの接続の両方をネットワーク境界でブロックし、これらのポートを使うツールの正当な使用のみに制限する。リモートアクセスソフトウェアは、環境内にローカルインスタンスを持ち、かつHTTPSポート443上での稼働を避けるべきである。

- RMMソリューションは、ネットワーク内からVPNや仮想デスクトップインターフェース(VDI)など、承認されたリモートアクセスソリューションを介してのみ使用が認められることが求められる。

- ウェブアプリケーションファイアウォール(WAF)を使用可能にし、HTTPトラフィックをフィルタリングおよび監視することによってリモートアクセスソフトウェアを保護する。

※この軽減策は有益ではあるが、本ガイド作成機関は、運用環境に展開する前にIT管理者がテストすることを推奨する。WAFはリモートアクセスツールの通常の動作を妨害することが知られているためである。

 次に、MSPやSaaSの顧客向けの推奨事項です。

- 契約上の取り決めを通じて管理者が提供しているセキュリティサービスについて十分に理解し、かつ契約の範囲から外れている如何なるセキュリティ要件にも対処できるようにする。注:契約書には、顧客の環境に影響を及ぼすインシデントをMSPやその他のプロバイダーが顧客に通知する方法とタイミングについて詳述すべきである。

- システムの効果的な監視とロギングを使用可能にする。顧客がMSPまたはSaaSプロバイダーに監視とロギングの実施を依頼することを選択した場合、契約上の取り決めにおいて、顧客はプロバイダーが以下を行なうことを確実に要求すべきである:


    ・プロバイダーが管理する顧客システムの適切な監視およびロギングを使用可能にする包括的なセキュリティイベント管理を実装すること。
    ・プロバイダーの存在、活動、顧客ネットワークへの接続を含むロギング活動の可視性を、契約上の取り決めで規定されているように、顧客に提供すること。注:顧客はMSPアカウントが適切に監視および監査されることを確実なものにすべきである。

- プロバイダーのインフラおよび管理ネットワークで発生したセキュリティイベントおよびセキュリティインシデントが確認された、もしくは疑われる場合、MSPに通知し、分析やトリアージのためにSOCに送付する。

- ログサーバーへの直接のアクセス、そしてログを削除または変更する機能に、RMMツールがリーチできないようにする。

 MSPやIT管理者向けの推奨事項です。

- 脆弱なデバイスのセキュリティを向上させ、アプライアンスをベンダーのベストプラクティスに沿って堅牢化する。詳細については、共同サイバーセキュリティ情報シート「Selecting and Hardening Remote Access VPN Solutions」を参照。

- 全ての顧客サービスおよび製品にMFAを取り入れる。注:MSPは顧客環境にアクセスできる全てのアカウントにもMFAを導入し、それらのアカウントを特権アカウントとして扱うべきである。

- 読み取り専用の監視のような、一般的な用途向けに「権限を引き下げた」RMMツールを構成する。

- 内部アーキテクチャのリスクを管理し、内部ネットワークを分離する。

- ゼロトラストは最終的に目指すものではあるが、顧客のデータセット(および該当する場合はサービス)を(社内ネットワークから分離するのと同様に)互いに分離することで、単一の攻撃ベクトルの影響を制限することができる。

※複数の顧客間で管理者認証情報を使い回さない。

- サポート終了(EOL: end-of-life)のソフトウェアの使用を避ける。

さらに、顧客と契約条件を交渉する際、インシデント対応と復旧のために、プロバイダーは顧客が購入しているサービス、顧客が購入していないサービス、そして将来起こりうる万が一の事態について明確な説明を行なうべきである。

 公開されたガイドでは他にもリモートアクセス機能を持つ製品の開発者向けの推奨事項も紹介されていますので、関係のある方は目を通しておくことを強くお勧めします。

 今回のガイドで紹介されている推奨事項の個々の内容自体に目新しさはありませんが、全体としてポイントを押さえたものとなっていますので、取引先選定時のチェックリストを作る際の参考資料としては十分に使えるでしょう。うまく活用してください。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。