米国の国家安全保障局(NSA)とサイバーセキュリティ・インフラセキュリティ庁(CISA)は、国民や組織が仮想プライベートネットワーク(VPN)をどう選ぶべきかを説明した詳細なガイドを共同で発表している。これは、世界的にリモートワークや遠隔教育への移行が進む中、他国やサイバー犯罪グループによるVPNの悪用が増えているためだ。
この9ページの文書には、VPNを安全に導入するための方法に関する詳しい説明が含まれている。NSAは声明の中で、このガイドは、国防総省や、国家安全保障システム、防衛産業基盤のリーダーにとっても、「VPNに関連するリスクに対する理解を深める」ために役に立つだろうと述べている。
NSAによれば、国家の支援を受けている複数のAPT攻撃グループが、よく見られる脆弱性を兵器化して、脆弱性を持つVPNデバイスへのアクセスを獲得し、認証情報を盗んだり、リモートからコードを実行したり、暗号化されたトラフィックの暗号を弱めたり、暗号化されたトラフィックのセッションを乗っ取ったり、デバイスから機密情報を読み取ったりしているという。
NSAのディレクターRob Joyce氏はAspen Cyber Summitで、「複数の国家が既知の脆弱性を悪用して脆弱な仮想プライベートネットワークデバイスを侵害している」と語った。
Joyce氏はTwitterで、VPNサーバーは保護されているネットワークへの入り口であるため、攻撃者にとって魅力的な標的だと述べている。
同氏はまた、「APT攻撃グループはこれまでVPNを攻撃してきたし、今後も攻撃するだろう。NSAと@CISAgovが発表した最新のガイダンスは、攻撃対象領域を縮小する上で役立つ。自分たちの守りに投資してほしい」と付け加えた。
CISAのディレクターであるJen Easterly氏も、Joyce氏と同じように、国家によるVPNに対する攻撃についてのメッセージを発信している。
今回のガイドは、国家情報保証パートナーシップ(National Information Assurance Partnership)の製品準拠リスト(PCL)に掲載されている検証済みのVPN製品のリストに言及している。その多くは、多要素認証を使用しており、パッチやアップデートを迅速に提供している製品だ。
専門家は、このリストを作成したCISAとNSAを称賛している。Sophosの主席リサーチサイエンティストChester Wisniewski氏は米ZDNetに対し、これまでVPNに関しては、何かを売ろうとする意図が絡んでいない、信頼できる情報が存在しなかったと話す。
Wisniewski氏は、「NSAの知識と経験と、米国の民間企業を保護するというCISAの任務を組み合わせは、犯罪者から身を守るための信頼できるアドバイスを提供する立場として適切だ」と述べた。
