オンプレミスなリモートアクセス装置を用いたリモートアクセスは、もはや限界
タイトルは誇張表現ですが、今こそリモアク構成を見直して、不毛な運用を終わらせてくれと、CVE-2025-22457 のせいで強く思ったよ、というお話です。
なお、本記事の内容はすべて場末のネットワーク屋の観測範囲での主観です。正しい情報はセキュリティ系の専門家をあたっていただくようお願いします。
背景の振り返り
Ivanti (旧Pulse Secure) や Fortigateを使ったリモートアクセスは、コロナ禍以前から、協力会社のアクセスや、緊急時対応用経路として広く企業ネットワークに導入されていましたが、用途としては限定的なものでした。
しかしながら、急にコロナが来たので(QCK)、多くの企業はリスク検討をする余裕もなく、既存のリモートアクセス経路を拡張する形でリモートワーク環境を用意しました。当時のPulse Secureは冗長化・上位機種への買い替え特需で大いに儲かりました。
しかし、リモートアクセス装置は侵入ポイントとしてもめちゃくちゃ優秀でした。
- インターネットに直接繋がっている上に、不特定多数のIPアドレスから接続する前提のため、接続元IP制限はかけられず、原則誰でもアクセスできる。
- なので、クライアント証明書認証・多要素認証など、何かしらプラス認証するべきだが、その整備が間に合わずID/Passのみで認証している企業もそこそこあった。
- 接続後のユーザのアクセス権限も特に制御せず、リモアクできれば以後社内アクセス全許可にしている例もあった。
上記より、悪意ある第三者が普通に認証して社内NWに入られる事例も見ましたし、
- リモアク装置を真面目に運用しておらず、ファームウェアのアップデートがずっとされていない機器も。
- コロナ以後、以前よりさらにIvantiやFortigateが攻撃対象としてメジャーになり、全世界から常時偵察されるようになった。
という背景で、脆弱性を悪用して入られる例もよくありました。
多くはランサムウェアに感染して事態に気づき、調べてみたら侵入経路はファームの古いリモアク装置だったという、そんな感じ。侵入に気づいていない例もあるんだろうと思う。つらい。
そんなわけで、ネットワーク屋としては「リモアク装置の認証は厳しくしよう」「アクセス制御もちゃんとかけよう」「アップデートはすぐ適用しよう」を言いつつ、並行して「機器の運用はつらいのでオンプレを捨ててサービスに移行しよう」という営業をしてきたわけなんですが。
CVE-2025-22457はマジ勘弁
2025年4月に顕在化した Ivantiの脆弱性 CVE-2025-22457 で、もうこれは運用無理でしょと確信した次第。
事の経緯は以下のような流れで、
- 2025年2月、当該脆弱性に関する情報が公開され、アップデートが提供されたものの、当時はBugfixレベルの低リスク扱いだったため、アップデートを見送った企業も多かった。
- しかしながら、2025年4月4日頃、この脆弱性が実際に悪用され、既に多数の侵入事例が観測されている旨が公表された。当初の評価とは異なり、重大な脆弱性であったことが後から判明した次第。
- 2月のアップデートを適用していない企業においては、Ivanti製品を経由して3月中旬から侵入されている可能性がある。
しかも、この脆弱性を利用した侵入においては、改ざん検知ツールを回避/改ざんしているという話もあり、侵入があったかどうかを確認できない可能性も。
また面白いのが(面白くない)、攻撃者は2月の修正プログラムをリバースエンジニアリングして、この脆弱性の悪用手法を確立したと推測されている点で、もうこんなんお手上げじゃんとげんなりした次第。
こんな色々起こるオンプレリモアク装置の面倒見にかける情シス工数はない。
すべてのリモートアクセス機器を終わらせたい
というわけで、リモアク装置の運用から解放されたいです。心から。
移行先の選択肢として考えられるのは、ざっくり分けると以下でしょうか。
- リモアクの口をインターネットに直接晒さなくて良い構成のサービスにする
- Netskope Private Access、Zscaler Private Access 等
- クラウドサービスを利用し、リモアク運用を専門家に任せる
- Catoクラウド、通信キャリアが提供するリモートアクセスサービス等
せっかくなので、この機会に合わせてSASE導入を…という営業トークに持っていきたい気持ちはありつつ、取り急ぎリモアク機器だけでも手放してほしいです。
何卒よろしくお願いいたします。