サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

TLSで暗号化された脅威により、ファイアウォールは効果を失ったのか?



暗号化トラフィックによって多くの次世代ファイアウォールが本来の機能を果たすことができなくなっている状況、TSLインスペクションの課題、そしてこのセキュリティギャップを解消するために必要な5つのTSLインスペクション機能について説明します。

出典:ソフォスホワイトペーパー「ファイアウォールで求められるTLSインスペクション機能」

TLS 1.3の重要性と間違った認識

最新のTLS規格であるTLS 1.3は、パフォーマンスの向上、プライバシー保護、過去に検出された脆弱性の解消など、以前のバージョンと比較して多くの利点があります。しかし、TLSインスペクション機能を実装しているファイアウォールの多くは、TLS 1.3を完全にサポートしていません。

そしてTLS 1.3が検査できない理由として以下の3つの誤った認識がもたれています。

① TLS 1.3は検査できないという誤解があります。

確かに完全に外部から実行するパッシブなTLSインスペクションは可能ではなくなりましたが、企業ネットワークなどでインスペクションに協力するエンドポイントがあれば、十分に検査することができます。

② 暗号化されたトラフィックフローを検査すれば、安全性が低下するという主張もあります。

これは、TLS 1.3の接続をTLS 1.2にダウングレードしている場合に発生する問題です。TLS 1.2には脆弱性があり、悪意のある中間者攻撃を受ける恐れがあります。TLS 1.3ではこれらの脆弱性が解消されており、接続をTLS 1.2にダウングレードしなければ、暗号化トラフィックを検査してもリスクは生じません。

③ 証明書ピンニング(ピン留め)によってTLSを検査できなくなるという主張もあります。

これは、ハードコードされた証明書を使用している一部のアプリケーションについては正しいのですが、多くのアプリケーションでは、無効化された証明書に対応する証明書ピンニングのアプローチを使用しており、問題なくTLSインスペクションを利用できます。

本当に危険なのは、暗号化されたトラフィックに潜む脅威

近年、インターネット接続はほぼ100%暗号化されるようになりました。攻撃者も暗号化されたトラフィックを使用してマルウェアを送り付け、検知を回避しながら、ネットワークに身を潜めています。

ランサムウェア攻撃、特に手動で展開されるランサムウェアではTLSが使用されるケースが増加していますが、これは攻撃者がHTTPSを利用したモジュール型のツールを使用していることが一因です。しかし、悪意のあるTLSトラフィックの大半は、ローダー、ドロッパー、ドキュメントベースのインストーラーなど、保護されているWebページにアクセスしてインストールパッケージを取得するための、攻撃の初期段階で使用されるマルウェアです。

そして、攻撃者は、TLSを使用しすれば、コントロールサーバーからクライアントに送信するコマンドが検知されなくなり、ネットワークから収集した情報を外部に送信することも、セキュリティを侵害したホストに別のペイロードを秘密裏にダウンロードすることもできます。

TLSを利用して通信を隠すマルウェアは劇的に増加しています。2020年にソフォスが検出したインターネット上のリモートシステムと通信するマルウェアのうち、TLSを使用していたのは23%でしたが、2021年では46%近くになっています。

今後導入するファイアウォールで確認すべき機能

暗号化されたネットワークトラフィックによるリスクを最小限に抑えるために、今後導入するファイアウォールに以下のTLSインスペクション機能が実装されていることを確認してください。

  1. TLS 1.3などの最新規格に対応し、すべてのポート/ プロトコルを効果的に処理する最新で高性能なストリーミングインスペクションエンジンを搭載し、リスクのあるトラフィックや脅威を特定できること。
  2. 検査を除外するトラフィックのリストがあらかじめ準備されており、動的に更新されること。これにより、復号化が不要なサイトやサービスのユーザーエクスペリエンスが損なわれることを防ぎます。
  3. 暗号化されたトラフィックフローや、互換性のないサイトやサービスで発生する可能性のある問題をダッシュボードで確認でき、問題が発生する前にオンザフライで例外処理を追加できること。
  4. 強力な証明書認証により、無効な証明書、自己署名証明書、失効した証明書、または信頼できない証明書を処理して、悪意のある中間者攻撃(MITM)を回避できること。
  5. ユーザープライバシー、組織のセキュリティ、ネットワークパフォーマンスなど、お客様のニーズに合わせて最適なバランスを組み立てることができるポリシーツールを利用できること。

SNSでもご購読できます。