2019 年はセキュリティ面で NordVPN にとって悪い年でした。
そこで、プライベートネットワーク業界は、被害を最小限に抑えるため、防御力強化のための対策を概説しました。当初から実施しておくべきだった対策ではありますが、後知恵は百聞に如かずです。
VPNプロバイダーは、ネットワークとアプリケーションコードのセキュリティ保護を強化することを目的とした5つの異なるプロジェクトに取り組むと発表しました。この計画では、外部の研究者や企業との複数の協力も予定されています。
「私たちは、自社の知識だけでなく、最高のサイバーセキュリティ専門家からのアドバイスも活用し、最善のサイバーセキュリティ対策を実施する予定です」と、NordVPNの広報担当ローラ・タイレル氏はこのキャンペーンについて述べた。「これは、サービスのセキュリティを全く新しいレベルに引き上げるために私たちが講じる多くのステップの最初の一歩です。」
しかし、口先だけで済ませるのではなく、実際に彼らが計画していることは次の通りです。
まず、NordVPNは定期的に独立したセキュリティ監査を受けると発表しています。誰が評価を実施するかはまだ明らかにされていませんが、クライアントソフトウェアからバックエンドのソースコード、サーバーやネットワークに使用されているハードウェアやアーキテクチャに至るまで、あらゆるものを検査するために第三者機関を招集することを約束しています。
さらに、VPN業界は、ハッカー派遣会社VerSpriteを招聘し、NordVPN社内のレッドチームと共同で一連の侵入テストを実施すると発表しました。VerSpriteは、NordVPNのソースコードと侵入防止システムを徹底的に調査するだけでなく、セキュリティに関する独立した諮問委員会の設立にも協力します。
NordVPNが「当社のサーバーの1つがリモート管理ツール経由でハッキングされた」と発表し、責任の所在をめぐって論争が勃発
続きを読む
NordVPNが独自のバグ報奨金プログラムを開始する予定であることは、脆弱性発見者にとって朗報となるでしょう。数週間以内に開始予定のこのプログラムは、NordVPNの製品にセキュリティホールを発見し、業界に報告した研究者に報酬を支払うことを目指しています。専門家によると、バグ報奨金制度の運用が不十分だと、全く運用しないよりも悪い結果になるとのことです。数週間という期間で、プログラムが適切に立ち上げられることを期待しています。
ハードウェア面では、NordVPNは、フィンランドのレンタルシステムの1つにセキュリティホールが発見されたことを受け、すべてのサーバーを管理し、設計を改善する計画を発表した。具体的には、VPNサービスを自社が所有・管理するコロケーションサーバーに移行する。
NordVPN は、サードパーティのベンダーや開発者によってもたらされた、悪用可能な脆弱性を検出して排除するために、現在もインフラストラクチャの見直しを進めているとしているが、すでに実施を計画している対策の 1 つは、ディスクレスで RAM のみのサーバーに完全に切り替えることだ。
これにより、NordVPNはサーバーイメージを一元的に保存し、機密情報などいかなる情報もマシンに保存することなく、ノードにプッシュ配信できるようになります。その後、これらのマシンは定期的に再起動されるか、最新のイメージを使用するように更新されます。
NordVPN は、これら 2 つの措置により、最近のセキュリティ侵害の原因となった状況、つまり NordVPN が加入者の接続をルーティングするために使用していたサードパーティのデータセンターのサーバーが侵害された状況が解消されることを期待しています。
Creanovaが運営するフィンランドのデータセンターに設置されていたこのサーバーは、2018年にリモート管理アカウント経由で侵入を受けました。このアカウントは、インターネットの反対側にいる悪意のある人物が出口ノードを通過するトラフィックの一部を確認できるものでした。Creanovaによると、NordVPNはリモート管理システムがインストールされていることを認識していたものの、それをロックダウンできなかったとのことです。NordVPNは、この「神モード」レベルのアクセス権限がサーバーに存在していたことを全く知らなかったと主張しています。®
