編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ
海外コメンタリー

次世代ファイアウォールに「設計上の脆弱性」?--セキュリティ専門家の間で議論に

David Shamah (Special to ZDNet.com) 翻訳校正: 石橋啓一郎

2016-01-18 06:15

 次世代のファイアウォールに頼っている多くのエンタープライズユーザーは、設計上の脆弱性によって、ハッカーに自由にネットワークに侵入される危険にさらされているのだろうか。

 セキュリティコミュニティーでは数週間にわたって、この問題についての激しい議論が続いている。

 調査に共同で関わったイスラエルのサイバーセキュリティ企業、BugSecとCynetによれば、恐るべきことに答えは「イエス」だという。

 同チームのオフェンシブセキュリティ責任者であるStas Volfus氏は、「この脆弱性は、潜在的に大きなリスクになる可能性がある」と述べている。「この問題は、すべての次世代ファイアウォールに内在しており、われわれがこれを悪用できたとすれば、ハッカーにもできるはずだ」(Volfus氏)

 その一方で、他のセキュリティ専門家は、この脆弱性は新しいものではないと指摘しており、あるブログ記事には、この主張が「誤りだ」とまで書かれている。

 次世代ファイアウォールは、未来のオンラインアプリケーション保護手段として期待されている。

 従来のファイアウォールではポートを監視するが、現在では多くのアプリケーションがさまざまなポートを使用しており、この手法は不適切になりつつある。次世代ファイアウォールはこれとは異なり、さまざまな手法でアプリケーション自体を調べ、それらが何に晒されているか、トラフィックはどこから来ているか、それは安全かを判断する。

 イスラエルのチームは、そのアプローチそのものが問題だと主張している。これを行うには、ファイアウォールはパケットの宛先に関わらず、完全なTCPハンドシェイクの成立を許す必要がある。これは、ファイアウォールがどのアプリケーションプロトコルが使用されているかを判断するのに必要な情報を収集するためだ。

 これは例えば、ファイアウォールがLAN環境からインターネット上の特定の場所に対するウェブ閲覧のためのHTTP/Sトラフィックだけを許可している場合(URLフィルタリング)でも同じだ。

 セキュリティ調査チームは、このアプローチを利用して、HTTPポートを介してBugSecが用意した指令サーバとの間のTCPハンドシェイクを確立することができた。

 同チームはメッセージを作成して、そのメッセージをTCPハンドシェイクプロセスを通じてトンネリングすることができた。この際、ファイアウォールのルールや制約に関わらず、インターネット上のどの宛先に対する通信でも、ファイアウォールを迂回することができたという。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]