分析NordVPN は本日、誰かが未知の目的で同社のサーバーの 1 つに侵入したセキュリティ侵害を軽視しようと努めました。
わかっていることは以下の通りです。2018年3月、サーバーに組み込まれたセキュリティの低いリモート管理システム(iLOまたはiDRACと思われる)を悪用した攻撃者が、このマシンの制御権を掌握しました。攻撃者は、マシン上で実行されているLXCコンテナ、OpenVPNソフトウェアファイル、暗号鍵にアクセスできたとされています。nordvpn.comウェブサイトのTLS証明書(現在は期限切れ)もシステムから盗まれました。
つまり、侵入者は、NordVPN加入者のHTTPS以外のウェブトラフィック、DNSルックアップ、そして同様の保護されていない接続を、その特定の侵入されたマシンを経由して盗聴した可能性があるということです。最大約200人がこのノードを使用していた可能性がありますが、NordVPNはユーザーのアクティビティを記録していないため、正確な数は把握していません。また、TLS証明書は、典型的な中間者攻撃でユーザー名とパスワードを盗み取るための偽のnordvpn.comウェブサイトを作成するために使用された可能性もあります。
NordVPN は、比較的人気の高いVPN プロバイダーです。約 1,200 万人のネットユーザーが、世界中に点在する約 3,000 台の NordVPN サーバーを経由してインターネットトラフィックをルーティングしています。そのため、ユーザーのウェブサイトやその他のサービスへの接続は、VPN プロバイダーのサーバーから発信されているように見えます。これはウェブフィルターを回避するのに便利です。例えば、米国限定のコンテンツにアクセスしたい場合、接続が米国のシステムからであるように見せかけ、プライバシーを少し高めることができます。コンピューターやスマートフォンと NordVPN ノード間の接続は暗号化されます。
データセンターのサーバーにある小さなバックドアについてお話しいただけますか?
続きを読む
週末、VPN業界は「ハッカーがあなたのオンライン生活を盗むなんてありえない。(VPNを使えば)」と、現在は削除されているツイートを投稿した。これに対し、KekSecと名乗るハッカー集団が、別の悪意ある人物が同社のサーバーの一つに侵入し、OpenVPNの設定や関連する秘密鍵などを含む様々なファイルを漏洩したと明らかにした。NordVPNの広報担当者は、ハッキングされたサーバーが実際に同社のネットワークの出口ノードであり、そのマシンに潜伏していた人物がそこから流れるパケットを盗聴していた可能性があることを認めた。
「たとえハッカーがサーバーに接続中にトラフィックを見ることができたとしても、通常のISPが見るものを見ることしかできず、決してそれを個人化したり、特定のユーザー名やメールアドレスにリンクしたりすることはできません」とNordVPNの広報担当者は語った。
「過去の VPN トラフィックを監視できませんでした。」
NordVPNの公式声明によると、サーバーはフィンランドのデータセンターからレンタルされていました。何者かが、サーバーの所有者が提供していた保護されていないリモート管理インターフェースを介して、Linux搭載のマシンを乗っ取ることに成功しました。このインターフェースはVPNプロバイダーから事実上秘匿されていたため、VPNプロバイダーはこのマシンが危険にさらされていることを知る術がなかったとされています。この管理インターフェースは、それを操作する者にシステムを完全に制御する権限を与えます。いわば、ゴッドモードと言えるでしょう。
「攻撃者は、データセンタープロバイダーが残した安全でないリモート管理システムを悪用してサーバーにアクセスしたが、当社はそのようなシステムの存在を知らなかった」とNordVPNのダニエル・マーカスン氏は月曜日に発表した前述の声明で主張した。
「サーバー自体にはユーザーアクティビティログは含まれておらず、当社のアプリケーションは認証のためにユーザーが作成した資格情報を送信することはなく、ユーザー名とパスワードが傍受されることもありませんでした。
このインシデント発生後、直ちに徹底的な内部監査を実施し、インフラ全体を点検しました。他のサーバーが同様の方法で悪用される可能性がないことを確認し、全サーバーをRAMに移行するプロセスの構築を開始しました。これは来年中に完了する予定です。また、提携するすべてのデータセンターの基準を引き上げました。今後は、契約前に、より厳格な基準を満たしていることを確認するようにしています。
この騒動の中心となったサーバーは2018年1月に稼働開始されたと伝えられています。Markuson氏によると、安全でないリモート管理インターフェースは、サーバーの所有者によって3月20日に「NordVPNに通知することなく」発見され、無効化されました。VPNプロバイダーの技術者は当時、サーバーの侵害に気づいていましたが、セキュリティホールについては口を閉ざしていました。どうやら「徹底的な内部監査」を行うためだったようです。サーバーも無効化され、ホスティング契約も解除されました。侵入は2018年3月20日までの間に一度発生したとみられています。漏洩した設定ファイルとキーは現在無効です。
「要約すると、2018年初頭、フィンランドにある隔離されたデータセンターの一つが不正アクセスを受けました」とマルクスン氏は付け加えた。「これは、弊社のサーバープロバイダーの一つが有する、弊社に開示されていなかった脆弱性を悪用して行われたものです。ユーザーの認証情報は傍受されていません。弊社ネットワーク上の他のサーバーは影響を受けていません。影響を受けたサーバーは既に存在せず、サーバープロバイダーとの契約も終了しています。」
そんなに急がなくても
NordVPNは問題のデータセンターサーバーホストを特定していませんが、DellとHPのマシンをレンタルしているフィンランドのCreanova社であると理解しています。同社のCEOであるニコ・ヴィスカリ氏はThe Registerに対し、リモート管理インターフェースをロックダウンしなかったNordVPNに全面的に責任があると述べました。NordVPNは明らかにこのことを認識していたようです。「NordVPNは時々このツールを使っていた」と同CEOは主張しました。
「はい、彼らが私たちの顧客だったことは確認できます」とヴィスカリ氏は続けた。「そして、彼ら自身でセキュリティ対策を怠っていたため、セキュリティに問題があったのです。」
当社が提供するすべてのサーバーには、iLO または iDRAC リモート アクセス ツールが搭載されています。しかし、実のところ、このリモート アクセス ツールは、世界中のほぼすべてのソフトウェアと同様に、セキュリティ上の問題を時折抱えています。HP または Dell から新しいファームウェアがリリースされるたびに、このツールにパッチを適用しています。
「当社には多くのクライアントがおり、その中には大手VPNサービスプロバイダーも含まれています。彼らはセキュリティ対策を非常に厳格に行っています。彼らはNordVPNよりもセキュリティに気を配っており、iLOやiDRACリモートアクセスツールをプライベートネットワーク内に設置するか、必要な時までアクセスを遮断するよう依頼しています。クライアントからのリクエストがあった場合は[iLOまたはiDRAC]ポートをアップ状態にし、ツールの使用が終了したらシャットダウンします。NordVPNはセキュリティ対策にそれほど力を入れておらず、なぜか私たちにその責任を押し付けようとしているようです。」
ああ、それらのアカウント
この記事を公開する準備をしていたところ、NordVPN から連絡があり、リモート管理インターフェースについては認識していたものの、レンタルしていたサーバーの管理システム内に Creanova が作成した安全でないアカウント (悪意のある人物がボックスをハッキングするために悪用したアカウント) については認識していなかったと説明されました。
「侵入検知システムを導入していますが、残念ながら、[Creanova]が残したリモートサーバー管理システムへのアクセスに使用されていた未公開のアカウントについては把握していませんでした」とNordVPNの広報担当者は語った。「そのようなアカウントの1つが、悪意のある人物によって当社のサーバーへのアクセスに使用されました。解決策を知らなかったわけではありません。作成され、その後削除された追加のアカウントについては、全く把握していませんでした。」
NordVPN がログで確認した内容は次のとおりです。
"19779","情報","2018/03/20 07:25","2018/03/20 07:25","1","creanovaによってユーザーサポートが削除されました。", "19778","情報","2018/03/20 07:25","2018/03/20 07:25","1","ユーザー管理者がcreanovaによって削除されました。"
NordVPNは、Creanovaによって作成されたとされるこれらの管理アカウントを認識していなかったようで、少なくとも1つはハッカーに盗まれ、システムに侵入されたと伝えられています。一方、NordVPNは、自社製品のセキュリティ上の欠陥を非公開で開示した人に報奨金を支払うバグバウンティ制度の導入に取り組んでいます。®
サーバーの侵害を最初に報じた TechCrunch に感謝します。
