もう一度考えたい、企業内ネットワークの「維持」のためにすべきこと:ビジネスインフラを狙う攻撃にどう対応するか(1)(1/2 ページ)
社内ネットワークは企業活動のインフラとして、動いて当たり前の存在だ。だが、問題を起こしやすい部分のみが脚光を浴び、DNSやDHCP、認証などは必ずしも十分に管理されていない場合がある。いざ停止したときの備えがないと、企業活動が滞ってしまうことはもちろん、サイバー攻撃の対象となった場合の被害も大きい。今、何ができるのか、もう一度確認しておこう。
企業内ネットワークは、ビジネスのインフラストラクチャとして、毎日、正常運用されていることが前提だ。止まることは許されない。もちろん、企業内ネットワーク自体が脅威となったり、トラブルや攻撃の原因となったりすることは避けなくてはならない。
これほど重要な役割を担っているにもかかわらず、いったん安定稼働期に入ってしまうと、運用管理上、見えにくくなってしまい、忘れられてしまう領域であるともいえる。
エンジニアにとって「動いていて当たり前」というのは名誉なことだともいえるだろう。だが停止すると、一気に社内の誰もが問題に直面する。昨今ではサイバー攻撃の踏み台として、脆弱(ぜいじゃく)性が残る社内サーバをまず探し出し、侵入するという手口が一般的になっている。「安定稼働している=古い」、つまり誰も見ていないサーバだとするなら、攻撃者が狙うのはそういったインフラなのかもしれない。
そこで今回は、広義のネットワークセキュリティとして、DNSやDHCPといったネットワーク基礎技術に加え、VPNやリモートワークで必須の認証について、いま動いている仕組みに「落とし穴」がないかどうか、確認することを勧めたい。
DNS/DHCP:ネットワークの“根幹”だからこそきっちり守るべし
まずはDNS、DHCPを取り上げよう。DNSといえば「DNSキャッシュポイズニング」の脆弱性が過去に話題になった。既に10年も前の問題だが、放置したままだといまだに問題を引き起こす。
この脆弱性はDNSの基本機能である「URLからIPアドレスへの変換」が起こす問題だ。DNSのキャッシュサーバに対して偽の情報を送り込むことで、ユーザーが正しいURLへアクセスしたとしても、偽のWebサイトに接続されてしまうという攻撃だ。脆弱性と対応について役立つ関連記事やリンクを幾つか紹介する。
- カミンスキー氏が発表したDNSアタック手法と対策例 (1/4):DNSキャッシュポイズニングの影響と対策(前編) - @IT
- DNSキャッシュポイズニングの原因・対策・その理由 (1/4):DNSキャッシュポイズニングの影響と対策(後編) - @IT
- DNSサーバの脆弱性に関する再度の注意喚起:IPA 独立行政法人 情報処理推進機構
この脆弱性に対応するには、DNS実装に用いるBINDや、各種OSのアップデートを適切に行うことが必要だった。だが、DNSは一度運用フェーズに入るとなかなかアップデートされないことも多く、DNSキャッシュポイズニングが話題になった後も、古いDNSサーバが運用されている事例が少なくなかった。
同様にDHCPにも脆弱性が見つかることがある。
DNSやDHCPについて脆弱性が報告された場合、まずはその情報を把握して、社内サーバに関係するかどうかを判断する。その後、アップデートが可能であれば実施し、そうでない場合は回避策を適切に選択することが重要だ。
そしてもう1つ、DNSやDHCPでは攻撃者が「内部の設定そのものを変更する」場合があることに、気を付けるべきだろう。攻撃者は企業内に設置したDNSを直接狙うよりも、クライアントPCのDNS/DHCP構成を変更することが少なくない。攻撃が成功すると、ユーザーは攻撃者が用意したDNSを参照してしまい、容易に偽のWebサイトへ誘導されてしまう。このタイプの攻撃は既に家庭向けルーターで現実のものとなっており、2018年3月ごろから、現在も継続して攻撃が続いている。
このように、ネットワークの基本となる構成要素は、攻撃者にとって効率のよい相手だといえるだろう。攻撃が成功すると、多数のクライアントに影響を与えられるからだ。
このような攻撃の目的は誘導以外にもある。DNS/DHCPの機能をダウンさせることができれば、企業活動を停止できてしまうからだ。DNS/DHPCといったサービスではトラブル対応に加え、サイバー攻撃を想定した対策が取られているかどうか、いま一度確認しておきたい。
Copyright © ITmedia, Inc. All Rights Reserved.