サイバー脅威
プライベート5Gネットワークが抱えるパケットリフレクションの脆弱性を調査
プライベート5Gネットワークには、IoT機器が外部ネットワークから攻撃されるリスクがあるため、通信経路上でのIPSecによる暗号化などセキュリティ対策が推奨されます。一方で、トレンドマイクロのリサーチャーの調査によりパケットリフレクションの脆弱性が発見されたため、その要因やリスクを解説します。
近年におけるIoT(Internet-of-Things:モノのインターネット)技術の浸透を念頭に、ある製造工場に無数の機器が満ち溢れ、それらが互いに通信している状況を想像してみましょう。工場内のIoT機器はプライベート5Gネットワークの中で稼働し、全体として緻密な接続網を形成しています。これらの機器はプライベートなIPサブネットの内部に隔離され、外界の脅威から保護されています。さらに、5Gコアやバックエンドサーバがクラウド内で安全に設置され、工場内のIoT機器からインターネットにはアクセスできないように制御されているか、または制限がかけられています。
しかし、ここで重要な疑問が上がります。堅牢に見えるこのセキュリティ網は、実際にどこまで安全と言えるのでしょうか。さまざまなセキュリティ事象が世の中を悩ませる中、「パケットリフレクション」の脆弱性が急浮上し、プライベート5Gネットワークの安全性を揺るがしています。
問題の脆弱性
問題の脆弱性は、基地局と5Gコアのユーザプレーン機能(UPF:User Plane Function)を繋ぐトンネリングプロトコル「GTP-U(GPRS Tunneling Protocol User Plane)」に起因します。驚くことに、この重要な経路において、暗号化や承認のプロセスが行われていない場合があります。GTPトンネルではIPセキュリティ(IPSec)による暗号化を行うように、モバイル業界団体「GSMA」から推奨されています。これが十分に守られていない事由として、現場ではIPSecなどの対策によって通信遅延やスループットに影響が出るという懸念が生じやすく、時としてセキュリティよりもパフォーマンスが優先されてしまうことが挙げられます。
Trend Micro Researchとその提携グループの調査により、5GコアのUPFからパケットリフレクションの脆弱性が発見されました。本脆弱性の要因は、コアネットワークのコントロールプレーンとユーザプレーン間で、IPのクロスチェックが行われていない点にあります。ファイアウォールやアクセス制御リスト(ACL:Access Control List)によってある程度の安全性は確保されますが、この場合、手動による継続的な設定作業が必要となります。
当該の脆弱性は、脆弱性発見コミュニティ「ZDI(Zero Day Initiatives)」に報告されました。結果として割り当てられたCVSSスコアは8.3であり、脆弱性の重大性を裏付けています。
企業向け5Gネットワークの形態
企業用プライベート5Gネットワークの構築に際しては、さまざまな設定事項が存在します。多くの場合、オンプレミスまたはエッジ側(利用端末に近い側)に「ローカルブレークアウト(LBO:Local Break Out)」が設置され、ローカルな通信トラフィックが企業ネットワークの外部に抜け出ないように制御されます。こうした設定パターンの例を下記に示します。
- 5Gコアをパブリックなクラウドに設置、LBOをエッジに設置
- 5Gコアを運用者の施設内に設置、LBOをオンプレミスに設置
- 5GコアをプライベートのクラウドまたはMEC(Multi-access Edge Computing)上に設置、LBOを共同設置
ユーザ機器(UE:User Equipments)から送信されたユーザデータは、基地局を経由し、GTPトンネルを通って5Gコア側に到達します。
今回取り上げる問題の核心は、5Gコアのユーザプレーン用インターフェース(N3)にあります。N3はクラウド側で公開状態になっていることが多々あり、侵入経路として不正利用される場合があります。攻撃者は不正なパケット内に標的組織のプライベートアドレスを埋め込み、これをGTPパケット内にカプセル化した上で、UPF宛てに送り付けます。
本攻撃の開始にあたっては、ダウンリンク通信が行われる場合と、アップリンク通信が行われる場合の2通りが存在します。ダウンリンクの場合、攻撃者は不正なパケットを準備し、その送信先として標的UEのIPを、送信元としてインターネット上のIPを指定します。次に、このパケットをGTPパケットの中にカプセル化した上で、UPF宛てに送り付けます。UPFはこれを基地局に転送し、基地局は内側のパケットを抽出してUE側に送信します。はじめに攻撃者がパケットの送信元として自身のIPを指定していた場合、攻撃者とUEの間で双方向通信が確立されます。
一方、アップリンクの場合、攻撃者は不正なパケットの送信先としてインターネット上のIPを、送信元としてUEのIPを指定します。次に、このパケットをGTPパケットにカプセル化した上で、UPFに送り付けます。UPFはこれをインターネット上のサーバに転送し、その応答データを5Gネットワーク経由でUE側に送信します。
以上の手口を実行するに当たり、攻撃者は、事前に対象のIPに紐づく32ビット長のトンネリング識別子(TEID:Tunnel Endpoint Identifier)を取得しておく必要があります。その手段の1つがブルートフォース攻撃であり、さまざまなTEIDによるpingメッセージを多量に送り付け、正しいものが見つかるまでこれを繰り返します。
脆弱性の根本的な原因
3GPP(3rd Generation Partnership Project)の標準仕様において、ユーザプレーンのパケットをピア単位で検証することは、義務化されていません(コントロールプレーンについては義務付けられている)。これは脆弱性の源と言うべきものであり、攻撃者から見ると、ネットワークの一貫性や秘匿性を不正利用する機会を生み出しているように見えるでしょう。さまざまなベンダーの5Gコアを対象とする近年のテストでも、複数の脆弱性が発見されるなど、状況の悪化が懸念されます。改善策としてIPSecの導入が提案されていますが、コストや拡張性の面で課題があり、その普及はまだ限定的なものとなっています。
こうした状況を受けてZDIは、脆弱性を有する機器について、関連するベンダーに報告しました。セキュリティ強化策として、ファイアウォールやDMZs(Demilitarized Zones:ネットワークの緩衝領域)などの導入が提起されています。しかし、本脆弱性は単純なパッチ適用で解決できるものではなく、包括的なアプローチが必要である点を認識することが重要です。
プライベート5Gネットワークにおけるパケットリフレクションの脆弱性は、攻撃者によるシステム内への侵入やIoT機器への不正アクセスを許すものであり、重大なセキュリティリスクと考えられます。特に、隔離環境で稼働する製造業やビジネスへの影響が大きく、ランサムウェア攻撃やデータ侵害、重要なオペレーションの機能不全、サービスの品質低下にまで発展するケースも考えられます。こうしたリスクを低減してネットワークや情報資産を保護するため、企業や組織では、堅牢なセキュリティのプロトコルや対策を導入することを推奨します。
リスクの軽減
今回挙げた脆弱性からは、無視し難い脅威が示唆されます。それは、攻撃者がどこからでも簡単に、インターネット越しでプライベートネットワークに侵入できることです。これが現実化した場合、内部ネットワークやプライベートサブネットのアクセス権が攻撃者の手に渡り、続いて無線ネットワークの各端末内に攻撃用の足場を築かれるなど、憂慮すべき事態に発展する恐れがあります。
本脆弱性は、ただのセキュリティリスクに留まるものではなく、攻撃者をネットワーク内部に導く抜け穴である点に注意する必要があります。侵入した攻撃者は、接続されている機器に潜むあらゆる脆弱性を不正利用しようとするでしょう。この脅威の影響を受けやすい領域として、隔離状態のプライベートネットワークを利用し、セキュリティパッチの適用を定期的に行っていない製造業やビジネスが挙げられます。インターネット経由でプライベートのサブネット内部にアクセスされる可能性があることは、WIFIからプライベート無線ネットワークへの移行を検討している企業、組織、ユーザにとって、衝撃的に感じられるかも知れません。
本脆弱性が及ぼしうる影響は多大であり、過小評価されるべきではありません。その内容も多岐に渡り、ランサムウェア攻撃から機密情報の流出、長期に渡るサービス拒否攻撃(DoS:Denial of Service)、秘密裏に製品の品質を貶める不正なエージェントに至るまで、さまざまな可能性が挙げられます。
こうしたリスクの重大性を踏まえ、企業や組織では、迅速に対策を行うことを推奨します。本脆弱性に対峙する上では、包括的なセキュリティプロトコル、定期的なアップデート、堅牢な侵入検知システムを含め、自発的に対策を行う姿勢が重要です。これにより、ネットワークインフラの障害や企業名声の損失に繋がる攻撃を、より一層的確に阻止できると考えられます。
企業のセキュリティを強化
今回述べた脅威に対し、企業や組織が実施できる有効なセキュリティ対策の例を示します。
IPSecおよびセキュアなトンネリング技術の導入
MoTS(Man-on-The-Side)型攻撃を阻止する上では、IPSecなどのセキュアなトンネリング技術が有効です。暗号化にはさまざまなコストがつきものですが、ネットワークセキュリティを強化するために、最低でもその導入について検討することが重要です。
外部のセキュリティ機器
ベンダーが提供する5Gコアの大半は、ビルトインによるIPクロスチェックの機能を備えていません。そのため、当該機能を備えた外部セキュリティ機器の導入について検討することを推奨します。これにより、性能に影響を与えることなく、アタックサーフェス(攻撃対象領域)を狭めることが可能です。
CTOneによってセキュリティを強化
サイバーセキュリティを強化する包括的なソリューションを求める企業や組織では、通信技術のグローバルリーダーである「CTOne」との連携について検討することを推奨します。トレンドマイクロの子会社であるCTOneは、デジタルトランスフォーメーションの実現や、通信レジリエンスの強化に向けて、一貫して取り組んでいます。
Trend Vision One™による多層構成のセキュリティソリューション
進化し続ける脅威を前に、多層構成によるセキュリティソリューションの重要性が一段と高まっています。企業や組織は、トレンドマイクロのサイバーセキュリティ・プラットフォーム「Trend Vision One™」を導入することで、アタックサーフェスを包括的に把握することが可能です。
Trend Vision One™はシームレスに産業用制御システム(ICS:Industrial Control System)や5G環境に適応し、脅威の検知や応答のプロセスを簡潔化します。本プラットフォームが備えるリスク分析や自動対処機能により、セキュリティチーム側で扱う必要のあるアラートは削減され、かわりに、戦略的により重要なタスクに専念することが可能となります。
サイバーセキュリティ分野の一歩先を進むことで、未来の安全性が高まります。今回の重大な脆弱性や対策の詳細について、トレンドマイクロの調査結果をこちらからダウンロードいただけます。
参考記事:
Exploring Weaknesses in Private 5G Networks
By: Trend Micro
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)