IoT
プライベート5Gネットワークへの攻撃を可能にするパケットリフレクションの脆弱性
基地局と5GC UPF間のGTP-Uプロトコルに暗号化と認証のメカニズムが欠如していることで、パケットリフレクション脆弱性を悪用したサイバー犯罪者による内部ネットワーク内の5Gデバイスへの攻撃が可能になるおそれがあります。
5Gテクノロジにより、モノのインターネット(IoT)の時代における産業部門のデジタルトランスフォーメーションが促進され、現代の工場は自社の5Gネットワークを通じて複数のデバイスを同時に接続できるようになりました。しかし5Gネットワークは、生産性の向上や市場機会の拡大に寄与するとはいえ、サイバー攻撃と無縁というわけではありません。
トレンドマイクロ、CTOne、台湾の国家通信放送委員会およびデジタル発展省の公式詰問委員会である電信技術センター(TTC)の最近の共同研究では、5Gコア(5GC)のUPFが持つパケットリフレクション脆弱性であるZDI-CAN-18522について調査しています。基地局と5GCユーザプレーン間のGTP-Uプロトコルには認証メカニズムが存在しないため、調査チームは5GC UPFのZDI-CAN-18522を利用して、内部ネットワークに接続された5Gデバイスを侵害することができました。
ZDI-CAN-18522はCVSS(Common Vulnerability Scoring System)スコア8.3の脆弱性であり、この脆弱性により、サイバー犯罪者は外部ネットワークからGTP-Uを悪用して、接続された5Gデバイスを攻撃することが可能です。調査チームが商用ベンダ2社とオープンソースベンダ2社の5GCに対して攻撃シナリオをテストしたところ、そのすべてが、この脆弱性がもたらす可能性のある攻撃のリスクにさらされていることがわかりました。
プライベートエンタープライズ5Gネットワークは、いくつかのトポロジで展開できます。一部のトポロジではUPFインタフェースがインターネットに露呈されており、その結果、外部ネットワーク上の脅威アクタがアクセスできるようになっています。サイバー犯罪者はZDI-CAN-18522を悪用することで、5G IoTデバイスがファイアウォールやネットワークアドレス変換(NAT)の内側で保護され、分離された環境内にある場合でも、露呈された5GCインタフェースを通して5G IoTデバイスにアクセスできるのです。
拡大するアタックサーフェス
5Gネットワークでは、すべてのユーザデバイスがデータトラフィックを送受信するためのGTPトンネルを少なくとも1つ持ち、データトラフィックはこのトンネルを介してクラウド上の5GCと基地局間を転送されます。5GCのユーザプレーンは、GTPのヘッダの一部を構成する32ビットのTEID(Tunnel Endpoint Identifier)を使用してGTPトンネルを識別します。また5Gユーザデバイスには、アップリンク用とダウンリンク用の個別のTEIDもあります。
トンネリングにより、元のパケットにGTPヘッダを付加することによって作成されるGTPパケットのコンテンツを、そのままの状態で(パケット内容が変更されることなく)サブネット間で送信することが可能です。TEIDが有効である限り、どこからでも5GユーザデバイスにGTPパケットを送信できます。サイバー犯罪者は、推測によって得られたTEIDのいずれかが標的のIPと一致することを期待して、GTPパケットにそれぞれ異なるTEIDを設定した複数のpingを標的のIPに送信する可能性があります。
GTP-Uプロトコルにおける暗号化の欠如により、事実上、5GCインタフェース自体が脅威アクタの潜在的なエントリポイントになります。GTP-Uトンネリングでは、企業のプライベートサブネットが外部ネットワークからのアクセスにさらされるためです(図1)。このセキュリティ上の欠陥をさらに悪化させる問題として、パケットが信頼できる送信元から送信されていることをUPFが確認するための組み込みのメカニズムを、多数の5GCベンダが装備していません。これは、このようなメカニズムが3GPP(3rd Generation Partnership Project)の標準で必須機能とされていないことによります。
潜在的な攻撃経路
この調査の過程で、脅威アクタがこの脆弱性を悪用して5Gネットワークに侵入するために使用する可能性のある、次の攻撃経路を特定しました。
ダウンリンク
ある攻撃シナリオで、ユーザデバイスのIPを宛先として設定し、インターネットIPを送信元として設定した攻撃パケットをGTPパケットにカプセル化して、UPFに送信できることがわかりました(図2の矢印1を参照)。UPFはTEIDをルックアップした後、パケットのカプセル化を解除し、ユーザデバイスに送信します(矢印2、3を参照)。その後、ユーザデバイスはインターネットIPに応答します(矢印4、5、6を参照)。攻撃者が自分のIPをインターネットIPとして設定している場合、これでそのデバイスとの双方向接続を確立できることになります(図3を参照)。
アップリンク
もう1つの種類の攻撃では、攻撃者は、ユーザデバイスのIPを送信元として設定し、インターネットIPを宛先として設定したパケットを作成して、GTPパケットにカプセル化します。このパケットがUPFに送信されます(図4の矢印1を参照)。その後、UPFがTEIDをルックアップし、内部のパケットのカプセル化を解除して、インターネットIPに転送します(矢印2)。インターネットサーバがユーザデバイスに応答し、5Gネットワークを介してパケットをユーザデバイスに送信します(矢印3、4、5)。
5Gセキュリティリスクの軽減
製造拠点の接続が進むにつれて、攻撃者のエントリポイントは複雑化します。ネットワーク化された工場への新たな脅威に対して防御するには、プロアクティブかつ包括的なセキュリティ戦略が必要です。以下の防御戦略を使用して、ZDI-CAN-18522などのセキュリティ欠陥に対する防御を強化してください。
- GSMA(GSMアソシエーション)が提案しているように、企業はIPsec(Internet Protocol Security)を使ってGTPを保護することができます。IPsecや、他の同様の基地局/5GC間セキュアトンネリングメカニズムは、MoTS(Man-on-the-Side)攻撃を阻止するのに役立ちます。
- また、商用5GCベンダの多くはIPのクロスチェックを行えるセキュリティデバイスを提供していないため、企業はこの機能を持つ外部セキュリティデバイスを使用することで、攻撃対象領域を縮小することができます。
サイバーセキュリティプラットフォームのTrend Vision One™などの多層的なセキュリティソリューションは、企業がインフラストラクチャを保護することを可能にします。Trend Vision Oneは、攻撃対象領域の包括的なビュー、およびICSや5Gに適応した、効率化された検知と対応機能を提供します。また、企業のリスクの影響度を評価し、これらのリスクを軽減するためのコントロールを自動的に導入することで、アラートの数を減らすと同時に精度を上げ、セキュリティチームが戦略的に重要なタスクに集中できるようにします。
低遅延、広帯域、および高密度であることからプライベート5Gネットワークを採用する企業が増えるにつれ、サイバー攻撃の可能性から工場環境を保護する必要性が高まっています。これに対処するために、トレンドマイクロのICS/OTセキュリティは、Zero Day Initiative、TXOne Networks、およびトレンドマイクロリサーチの包括的な脅威インテリジェンスおよび専門知識を基に構築されたさまざまなソリューションを提供しています。IT、OT、およびCTに統合されたソリューションスイートは、監視の複雑性を減らしながら、早期の脅威検知と対応機能を提供することで、製造業者が産業ITエコシステムをより適切に防御することを可能にします。
CTOneについて
CTOneは、通信技術の世界的サイバーセキュリティリーダーとして、次世代無線ネットワーク向けのエンタープライズサイバーセキュリティソリューションを提供しています。トレンドマイクロの子会社であるCTOneは、デジタルトランスフォーメーションを可能にし、通信技術のレジリエンス(強靭性)を強化します。
さらなる詳細については今回の調査結果をまとめたリサーチペーパー「5Gコアに潜む脆弱性の実態」をご参照ください。
参考記事:
A Deep Dive into the Packet Reflection Vulnerability Allowing Attackers to Plague Private 5G Networks
By: Trend Micro Research