ソフォス販売代理店 アクシス
暗号化トラフィックによって多くの次世代ファイアウォールが本来の機能を果たすことができなくなっている状況、TSLインスペクションの課題、そしてこのセキュリティギャップを解消するために必要な5つのTSLインスペクション機能について説明します。
出典:ソフォスホワイトペーパー「ファイアウォールで求められるTLSインスペクション機能」
最新のTLS規格であるTLS 1.3は、パフォーマンスの向上、プライバシー保護、過去に検出された脆弱性の解消など、以前のバージョンと比較して多くの利点があります。しかし、TLSインスペクション機能を実装しているファイアウォールの多くは、TLS 1.3を完全にサポートしていません。
そしてTLS 1.3が検査できない理由として以下の3つの誤った認識がもたれています。
確かに完全に外部から実行するパッシブなTLSインスペクションは可能ではなくなりましたが、企業ネットワークなどでインスペクションに協力するエンドポイントがあれば、十分に検査することができます。
これは、TLS 1.3の接続をTLS 1.2にダウングレードしている場合に発生する問題です。TLS 1.2には脆弱性があり、悪意のある中間者攻撃を受ける恐れがあります。TLS 1.3ではこれらの脆弱性が解消されており、接続をTLS 1.2にダウングレードしなければ、暗号化トラフィックを検査してもリスクは生じません。
これは、ハードコードされた証明書を使用している一部のアプリケーションについては正しいのですが、多くのアプリケーションでは、無効化された証明書に対応する証明書ピンニングのアプローチを使用しており、問題なくTLSインスペクションを利用できます。
近年、インターネット接続はほぼ100%暗号化されるようになりました。攻撃者も暗号化されたトラフィックを使用してマルウェアを送り付け、検知を回避しながら、ネットワークに身を潜めています。
ランサムウェア攻撃、特に手動で展開されるランサムウェアではTLSが使用されるケースが増加していますが、これは攻撃者がHTTPSを利用したモジュール型のツールを使用していることが一因です。しかし、悪意のあるTLSトラフィックの大半は、ローダー、ドロッパー、ドキュメントベースのインストーラーなど、保護されているWebページにアクセスしてインストールパッケージを取得するための、攻撃の初期段階で使用されるマルウェアです。
そして、攻撃者は、TLSを使用しすれば、コントロールサーバーからクライアントに送信するコマンドが検知されなくなり、ネットワークから収集した情報を外部に送信することも、セキュリティを侵害したホストに別のペイロードを秘密裏にダウンロードすることもできます。
TLSを利用して通信を隠すマルウェアは劇的に増加しています。2020年にソフォスが検出したインターネット上のリモートシステムと通信するマルウェアのうち、TLSを使用していたのは23%でしたが、2021年では46%近くになっています。
このレポートは2021年6月にリリースされたレポートの日本語版として2022年1月に公開されたものです。
暗号化されたネットワークトラフィックによるリスクを最小限に抑えるために、今後導入するファイアウォールに以下のTLSインスペクション機能が実装されていることを確認してください。
Sophos FirewallはTLS 1.3をネイティブにサポートしており、トラフィックが問題を起こしたかどうか、何人のユーザーが影響を受けたかを明確に表示するユーザーインターフェースを提供しています。数回クリックするだけで、問題のあるサイトやアプリケーションを、不適切な保護レベルに戻ることなく、除外することができます。
エンドポイントである、パソコン、スマートフォンやタブレットなどの端末機器を、ウイルスなどの感染から守るためのセキュリティ対策で、ディープラーニング AI、ランサムウェア対策機能、エクスプロイト対策、その他の手法を組み合わせることで、最新のサイバーセキュリティの脅威を阻止するセキュリティソリューションです。
さまざまなサイバー攻撃からネットワークを守るために、複数の機能を統合してネットワークを管理することです。一般的にこのような機能を搭載したボックスタイプのハードウェアをUTMとよびます。
パソコンなどの端末に対する脅威を継続的に監視して、サイバー攻撃を検知し、管理者に通知するソリューションです。管理者はEDRのログを分析することで対策を検討します。
EDRのようにエンドポイントのみを監視するのではなく、複数のセキュリティ製品からの情報を統合して脅威の検出、分析、対応を自動化して迅速に行うEDRの進化型のソリューションです。
社内の管理者に代わって、ネットワーク内に侵入した脅威を検知し、素早く対応をとるための専門家によるマネージドサービスです。