安全でないプロトコルが企業で未だに使い続けられていることが判明

かなり以前から企業内で依然として使用されている安全でないプロトコルが、ネットワークセキュリティに重大な脅威をもたらしていると言われていました。

主なプロトコルとしては、以下に示す HTTP、FTP、Telnet、SMB が指摘されており、これらのプロトコルは、暗号化や認証が不十分であるため、攻撃者によるデータの傍受や改ざん、ネットワークへの不正アクセスのリスクを高めることになるため、これらに代わる HTTPS、SFTP、SSH、SMBv3を利用することが推奨されています。

1. HTTP：暗号化されていないため、通信内容が第三者に見られる可能性があります。

2. FTP：ファイル転送プロトコルであり、データや認証情報が平文で送信されるため、盗聴されるリスクがあります。

3. Telnet：リモートログインプロトコルであり、通信が暗号化されないため、パスワードやその他の機密情報が漏洩する可能性があります。

4. SNMP v1/v2：ネットワーク管理プロトコルであり、認証が平文で行われるため、不正アクセスのリスクがあります。

そのような状況の元、Networkworld で Cato Networks社の「安全でないプロトコルがネットワークの脆弱性を放置：報告書」記事を意訳したものです。

Insecure protocols leave networks vulnerable: report

安全でないプロトコルがネットワークの脆弱性を放置

Cato CTRL SASE脅威レポートが明らかにする信頼されるトラフィックネットワークの停止

多くの企業が依然としてHTTP、Telnet、初期バージョンのSMBなどの安全でないプロトコルに依存しているため、ネットワークは脆弱な状態にあります。

企業のITマネージャーは内部ネットワークプロトコルを過信しており、多くの組織がWANトラフィックを暗号化していないことが、新しいセキュリティ脅威レポートで明らかになりました。

Secure Access Service Edge（SASE）プロバイダーのCato Networks社は、サンフランシスコで開催されたRSAカンファレンスで、2024年第1四半期のCato CTRL（Cyber Threats Research Lab） SASE脅威レポートの結果を発表しました。このレポートは、2,200以上の顧客から収集されたCatoトラフィックフローの分析結果をまとめたもので、1.26兆のネットワークフローが分析されました。

レポートによれば、多くの企業がWAN上で未だに安全でないプロトコルを使用しており、不正なアクターがネットワークに侵入すると、ネットワークを横断する重要なデータを見たり、危険にさらしたりすることへの防御（障壁）が少ないことを意味します。

Cato NetworksのチーフセキュリティストラテジストでCato CTRLの創設メンバーであるEtay Maor氏は、「脅威アクターが常に新しいツール、技術、手順を導入して全業種の組織を標的にしている中、サイバー脅威インテリジェンスは断片的でポイントソリューションに限定されている」と述べました。「Cato CTRLは、エンタープライズの脅威に対する全体的な視点を提供するためのギャップを埋めています。グローバルネットワークとして、CatoはCato SASEクラウドプラットフォームを通じて、すべてのエンドポイント通信のすべてのトラフィックフローに関する詳細なデータを持っています」とコメントしました。

ハッカーが内部ネットワークプロトコルを悪用

特定のネットワークプロトコルを使用して内部ネットワークを通過する暗号化されていないデータは、ネットワークの境界内にあるため、必ずしも安全ではありません。悪意のあるアクター（行為者/攻撃者）は、セキュリティの低いプロトコルを利用して環境をスキャンし、悪用する脆弱性を特定できます。

例えば、Catoの分析では、62％の環境が暗号化されていないプロトコルであるHTTPを使用していることが判明しました。また、Secure Shell（SSH）プロトコルがリモートサービスにアクセスするための最も安全な方法である一方で、54％の組織が内部でTelnetを使用しています。Telnet接続は暗号化されておらず、データが保護されません。

約半数（46％）がサーバメッセージブロック（SMB）v1またはv2を使用しています。ファイル共有などに使用されるSMBプロトコルは、SMB v3で更新され、脆弱性から保護されていますが、Catoは多くの組織が依然として既知の脆弱性（EternalBlueやDoS攻撃など）を抱えたSMB v1およびSMB v2に依存していることを発見しました。SMB v3は、強力なAES-128-GCM暗号化標準を実施しています。

「HTTPトラフィック分析は、多くの組織がWANトラフィックを暗号化していないことを明確に示しています」とレポートは述べています。「これは、攻撃者が組織のネットワーク内部に既に存在する場合、個人識別情報（PII）や資格情報などの機密情報を含む暗号化されていない通信を傍受できることを意味します。」このようなデータへのアクセスは、攻撃者がネットワーク内で脆弱性を探る横方向の移動を助け、最終的なターゲットに到達するまで検出されずに済む可能性があります。

「サイバー攻撃を防ぐためには、企業は会社データと脅威インテリジェンスフィードに基づいた機械学習モジュールを使用すべきです。また、組織内のシステムが侵害されている可能性があるため、注意が必要です。脅威アクターは、主にSMBスキャンを使用してネットワークの脆弱性をスキャンしています」とレポートは述べています。

悪意のあるアクターが人気のショッピングサイトを偽装

別のCatoトラフィック分析レポートでは、個人情報にアクセスするために使用されるフィッシングや偽装の試みにおいて、最も頻繁に偽装されるショッピングサイトが明らかになりました。

これらのサイバースクワッティングの試みは、ドメイン名を使用して、他者のブランドの評判や認知度を利用するものです。一般的なタイポやわずかな単語の違いをドメイン名に組み込むことで、正当なサイトとして偽装し、ユーザーが誤って入力した場合にアクセスを得ることができます。

レポートによると、Booking、Amazon、eBayが偽装試行に関与するトップ3の有名ブランドであり、その他にPinterest、Google、Apple、Netflix、Microsoft、Instagram、YouTubeが含まれます。

まとめ

以前より、安全でないプロトコル（HTTP、FTP、Telnet、SMB）がいまだに企業内で使われていると言われていましたが、SASEを提供するCato Networks社が実際に2,200社の企業データを実際に分析した結果、HTTPは62%、Telnetは54%、SMB v1/v2は46%と、まだまだ半数以上の企業が利用していることが判明しました。

境界型防御が前提で構成されており「社内は安全」がベースとなるアーキテクトとなっているため、社内通信に対する暗号化や認証が不十分であることが明らかになりました。

ゼロトラストの実現に向けては、社内外に関わらず、安全でないプロトコルの利用をやめることも重要と言えます。