暗号化トラフィックによって多くの次世代ファイアウォールが本来の機能を果たすことができなくなっている状況、TSLインスペクションの課題、そしてこのセキュリティギャップを解消するために必要な5つのTSLインスペクション機能について説明します。
出典:ソフォスホワイトペーパー「ファイアウォールで求められるTLSインスペクション機能」
最新のTLS規格であるTLS 1.3は、パフォーマンスの向上、プライバシー保護、過去に検出された脆弱性の解消など、以前のバージョンと比較して多くの利点があります。しかし、TLSインスペクション機能を実装しているファイアウォールの多くは、TLS 1.3を完全にサポートしていません。
そしてTLS 1.3が検査できない理由として以下の3つの誤った認識がもたれています。
確かに完全に外部から実行するパッシブなTLSインスペクションは可能ではなくなりましたが、企業ネットワークなどでインスペクションに協力するエンドポイントがあれば、十分に検査することができます。
これは、TLS 1.3の接続をTLS 1.2にダウングレードしている場合に発生する問題です。TLS 1.2には脆弱性があり、悪意のある中間者攻撃を受ける恐れがあります。TLS 1.3ではこれらの脆弱性が解消されており、接続をTLS 1.2にダウングレードしなければ、暗号化トラフィックを検査してもリスクは生じません。
これは、ハードコードされた証明書を使用している一部のアプリケーションについては正しいのですが、多くのアプリケーションでは、無効化された証明書に対応する証明書ピンニングのアプローチを使用しており、問題なくTLSインスペクションを利用できます。
近年、インターネット接続はほぼ100%暗号化されるようになりました。攻撃者も暗号化されたトラフィックを使用してマルウェアを送り付け、検知を回避しながら、ネットワークに身を潜めています。
ランサムウェア攻撃、特に手動で展開されるランサムウェアではTLSが使用されるケースが増加していますが、これは攻撃者がHTTPSを利用したモジュール型のツールを使用していることが一因です。しかし、悪意のあるTLSトラフィックの大半は、ローダー、ドロッパー、ドキュメントベースのインストーラーなど、保護されているWebページにアクセスしてインストールパッケージを取得するための、攻撃の初期段階で使用されるマルウェアです。
そして、攻撃者は、TLSを使用しすれば、コントロールサーバーからクライアントに送信するコマンドが検知されなくなり、ネットワークから収集した情報を外部に送信することも、セキュリティを侵害したホストに別のペイロードを秘密裏にダウンロードすることもできます。
TLSを利用して通信を隠すマルウェアは劇的に増加しています。2020年にソフォスが検出したインターネット上のリモートシステムと通信するマルウェアのうち、TLSを使用していたのは23%でしたが、2021年では46%近くになっています。
このレポートは2021年6月にリリースされたレポートの日本語版として2022年1月に公開されたものです。
暗号化されたネットワークトラフィックによるリスクを最小限に抑えるために、今後導入するファイアウォールに以下のTLSインスペクション機能が実装されていることを確認してください。
Sophos FirewallはTLS 1.3をネイティブにサポートしており、トラフィックが問題を起こしたかどうか、何人のユーザーが影響を受けたかを明確に表示するユーザーインターフェースを提供しています。数回クリックするだけで、問題のあるサイトやアプリケーションを、不適切な保護レベルに戻ることなく、除外することができます。
