• JP
  • magnifying glass search icon to open search field
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
Palo Alto Networks logo
  • 製品
  • ソリューション
  • サービス
  • 業種
  • パートナー
  • パロアルトネットワークスをお勧めする理由
  • 会社案内
  • その他
  • JP
    Language
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
  • スタート ガイド

セキュリティポリシー回避型 VPN クライアントがネットワーク運用上大きなリスクに

Stefan Achleitner, Michael Huo 6 27, 2019 at 04:30 午後

本ブログは米国で2019年06月26日に公開されたUnit 42ブログ「Evasion of Security Policies by VPN Clients Poses Great Risk to Network Operators」の日本語翻訳です。

 

 

 

 


エグゼクティブサマリー

本稿では、パロアルトネットワークス脅威インテリジェンス調査チーム Unit 42 のリサーチャーがトンネリングソフトウェア X-VPN について調査した結果を共有します。同ソフトウェアは様々なテクニックを駆使し、セキュリティ対策、ポリシー実施対策を回避していました。 X-VPN は、インターネット検閲やトラフィック ポリシー適用ポイントを回避するために使用可能な仮想プライベートネットワーク (VPN) のひとつで、ネットワークオペレータや VPN ユーザーに大きなリスクをもたらします。

X-VPN は、現在もっとも捕捉のむずかしい回避型 VPN クライアントの 1 つで、セキュリティポリシーを回避するために様々な一般プロトコルやサービスを模倣します。この結果、保護を提供するシステムがデータパケットを検査できず、悪意のあるトラフィックのネットワーク侵入や機密情報の内部ネットワークからの流出を許してしまう可能性があります。
 

回避型 VPN 接続のリスク
 

X-VPN のような VPN クライアントを使用するとユーザーもネットワーク オペレータもリスクにさらされます。VPN クライアントを使用するのであれば、次のリスクについて考慮すべきです。

  • 信頼できる VPN プロバイダか: VPN を使用するとクライアントからのデータはすべてさまざまな分析とデータのログオンを実行可能な第三者に送信されます。
  • ホスティングしている国の管轄はどこか: VPN プロバイダの所在地によっては、ホスティングしている国が VPN プロバイダに特定のユーザーデータを政府と共有するよう要求することがあります。X-VPN の分析中、多数の出口ノードがさまざまな国に分散していることがわかりました。これらは多くの場合、VPN クライアントによって自動的に選択されます。
  • トラフィックを制限していないか: VPN プロバイダはユーザーからのデータを完全に制御できるため、さまざまなサービスへの接続を抑制したり、ブロックしたり、特定のコンテンツプロバイダを他のコンテンツプロバイダより優先させることができます。
  • マルウェアとスパイウェアのリスク: VPN クライアントはサードパーティのソースにアクセスすることが多く、マルウェアやスパイウェア プログラムがホストに感染する可能性があります。とくに、 VPN によってカスタム暗号が使用されていると、セキュリティ監視システムはインバウンド トラフィックに悪意のあるペイロードが含まれているかどうかを識別することができません。
  • クライアントを出口ノードとして使用していないか: VPN クライアントのなかには、別のエンドユーザーのインストール済みクライアントを介してユーザーに接続許可をするものがあります。そのような場合、出口ノードとして使用されるエンドユーザーは、他の VPN ユーザーが実行するあらゆる違法行為に対し、責任があるものとみなされる可能性があります。

VPN 関連リスクを考慮すると、ネットワークオペレータはネットワーク内の VPN 使用状況を監視・制御できることが重要です。以下のセクションでは、X-VPN の詳細分析中に見つかった回避手法について説明します。


X-VPN による回避テクニック


X-VPN の回避テクニックは TCP および UDP ペイロードのカスタム暗号使用、HTTP、SSL、FTP、NTP、SMTPなどのほかのアプリケーション層プロトコルの模倣に基づいています。私たちの調査によれば、X-VPN はパブリック クラウド プロバイダによってホストされている推定 1 万台のサーバーインスタンスを使用し、毎日 300-500 台のサーバーインスタンスを新しいパブリック IP アドレスに置き換えています。

データパケットの実際のペイロードを隠すため X-VPN は一般的なサービスへの接続を模倣します。たとえば、www.google.com や www.bing.com などへの接続です。

 

図 1 www.bing.com への Web ブラウジングを真似た X-VPN トラフィック


図 1 に示すように、X-VPN は Bing への Web ブラウジングトラフィックであると思われる HTTP トラフィックを模倣しています。ハイライトしたフィールドはカスタム暗号で暗号化されていて、C2トラフィックとして使用されるか、クライアントソフトウェアといずれかの X-VPN サーバーインスタンスとの間でデータを転送するために使用されます。

 

図 2 は比較用に www.bing.com への実際の Web ブラウジングトラフィックの HTTP ヘッダを示したものです。

 

図 2 www.bing.com への実際のトラフィック


同様のテクニックが SSL トラフィックでも使われています (図 3 参照)。X-VPN はたとえば google.com への SSL ハンドシェイクを模倣します。

 

 

図3 www.google.com への SSL ハンドシェイクを模倣する X-VPN


一般的なサービスをドメイン名として使用する以外に、X-VPN はたとえば 8v9m.com といったドメインを生成して使用することも確認しました。

 

ポリシー施行システムをかいくぐってデータをトンネリングするために、HTTP トラフィックや SSL トラフィックを偽装した通信を行うだけでなく、FTP、SMTP、NTP の各トラフィックについても同じやりかたを使い、一見無害なプロトコルのものに見えるカスタムエンコードされたデータをパケット内のフィールドに埋め込んで隠そうとします。

図 4 もそうした例のひとつです。SMTP (Simple Mail Transfer Protocol) の構造は icloud.com と通信しているように見えますが、実際には X-VPN によるデータ通信に使用されています。SMTP カンバセーション内の「FROM」と「TO」のメールアドレスは、カスタム暗号で暗号化された値のように見えますので、本トラフィックは X-VPN の C2 通信用に使われるものと推測されます。

 

図 4 SMTP トラフィックを模倣した X-VPN


FTP トラフィックにも似た方法が使われます。FTP (File Transfer Protocol) の場合、ユーザー名とパスワードがカスタム暗号で暗号化され、クライアント/サーバー間で捕捉されにくいやりかたで情報をやり取りするために使われています (図 5 参照)。

 

 

図 5 FTP トラフィックを模倣する X-VPN


結論 / 緩和策

パロアルトネットワークスは、さまざまなベストプラクティス推奨を組み合わせ、X-VPN をはじめとするプロキシ製品をお客様環境・企業環境で遮断するためのお手伝いができます。パロアルトネットワークスのファイアウォール製品で、X-VPN を遮断するように設定する方法についての詳細はこちらの『Configure Palo Alto Networks Firewall To Block X-VPN (ファイアウォールを設定して X-VPN を遮断する)』をご参照ください (※ 機械翻訳で日本語が提供されています)。

 

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

データシート

PA-400シリーズ

パロアルトネットワークスの機械学習を活用したNGFW「PA-400 Series (PA-460、PA-450、PA-440)」なら、分散した大企業の支社、小売店、中規模企業にも次世代ファイアウォール機能を導入できます。
August 3, 2022

最新ニュース、イベント情報、脅威アラートを配信

このフォームを送信すると、お客様は弊社の利用規約とプライバシー ポリシーに同意したものとみなされます。

black youtube icon black twitter icon black facebook icon black linkedin icon
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)

人気のあるリソース

  • 会社概要
  • イベント センター
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • 投資家の皆様へ
  • ブログ
  • Japan Live Community
  • Tech Docs
  • キャリア
  • お問い合わせ
  • サイトマップ

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約
  • トラスト センター
  • ドキュメント
  • 一般事業主行動計画

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告

Copyright © 2023 Palo Alto Networks. All rights reserved