言語を選択
durumis AIが要約した文章
- 30年間使用されてきたRADIUSプロトコルに、深刻なセキュリティ脆弱性である「BlastRADIUS」が発見され、ネットワーク認証システムのセキュリティに対する懸念が高まっています。
- この脆弱性は、MD5衝突攻撃を利用して認証を回避し、権限を昇格させることができ、RADIUSを使用する企業Wi-Fiシステム、ISP、VPN、公共Wi-Fi、モバイルネットワークなど、さまざまな場所に影響を与える可能性があります。
- 研究者は、RADIUS/UDPの廃止とRADSEC(RADIUS over TLS)への移行、マルチホップ方式の導入、RADIUSトラフィックのパブリックインターネットからの分離を推奨しており、ネットワーク機器メーカーと管理者の迅速な対応が必要です。
30年以上使われているRADIUSプロトコルに致命的な脆弱性が発見される:BlastRADIUS脆弱性
ネットワーク認証の核であったRADIUSプロトコルに深刻な脆弱性が発見されました。30年間も隠れていたこの脆弱性は「BlastRADIUS」と名付けられました。しかし、なぜこの脆弱性は長い間発見されなかったのでしょうか?
RADIUSとは何か?
RADIUSは「Remote Authentication Dial-In User Service」の略です。これは、ネットワークにアクセスしようとするユーザーを認証し、権限を与えるプロトコルです。簡単に言えば、ユーザーがネットワークにアクセスするときに、「あなたは誰ですか? 入ってもいいですか?」と確認する門番の役割を果たします。
RADIUSは様々な場所で利用されていますが、私たちの日常で最もよく目にする例は企業のWi-Fi認証システムです。例として考えてみましょう。
一般的なWi-Fiは、パスワードだけでアクセスできます。しかし、この場合、パスワードを知っている人なら誰でもアクセスできてしまい、セキュリティが脆弱です。また、誰がいつアクセスしたのかを正確に把握できません。
一方、RADIUSを利用する企業のWi-Fiシステムは異なります。従業員は自分の固有の会社IDとパスワードでWi-Fiにアクセスします。RADIUSサーバーはこの情報を確認し、認証されたユーザーのみにネットワークアクセスを許可します。このようにすることで、誰がいつネットワークにアクセスしたのかを正確に把握でき、セキュリティも強化されます。
特に規模の大きい会社では、このようなシステムがよく利用されます。数百人、数千人の従業員がそれぞれ独自のアカウントで安全にネットワークにアクセスできるからです。
もちろん、RADIUSは企業のWi-Fi以外にも様々な場所で利用されています:
1. インターネットサービスプロバイダー(ISP):顧客がインターネットにアクセスする際の認証
2. VPN:リモートユーザーが会社のネットワークに安全にアクセスする際に利用
3. 公共Wi-Fiホットスポット:ユーザーの認証とアクセス管理
4. モバイルネットワーク:スマートフォンがセルラーネットワークに接続する際の認証
RADIUSは、中央集権的な認証方式を提供することで、管理者が多数のユーザーのアクセスを効率的に制御できるようにします。ところが、このように重要な役割を担うRADIUSに、深刻な問題が見つかったのです。
脆弱性の背景
RADIUSプロトコルは1991年に設計されました。当時のネットワーク環境やセキュリティ概念は、現在とは大きく異なっていました。そのため、RADIUSはUDPをベースに設計されました。UDPは高速ですが、TLSなどの現代的なセキュリティプロトコルに比べてセキュリティ性が低いです。
脆弱性の内容
BlastRADIUS(CVE-2024-3596)は、MD5衝突攻撃を利用します。MD5も90年代初頭に登場したハッシュ関数です。しかし、時間が経つにつれてMD5の脆弱性が明らかになってきました。攻撃者はこれを利用して、RADIUSサーバーの応答を操作することができます。結果として、認証を回避し、権限を昇格させることが可能です。
ここで注目すべき点は、MD5の深刻な脆弱性です。現在のセキュリティ業界では、MD5を使用しているシステムは、セキュリティが非常に脆弱であるとみなされています。MD5はあまりにも簡単に破られてしまうからです。驚くべきことに、近年では1分もかからない時間でMD5ハッシュを破ることが可能になりました。これは、MD5を使用しているシステムがリアルタイムでハッキングされる可能性があることを意味します。
このような理由から、現代のパスワードシステムはMD5からSHA-1、SHA-2、SHA-3などに進化してきました。もはや、セキュリティが重要なシステムでMD5を使用している例を見かけることはほとんどありません。ところが、RADIUSは依然としてMD5を使用しているという点が、非常に懸念される事項です。
影響範囲
RADIUSは、現代の通信と企業ネットワークの核となる要素です。前述した企業のWi-Fiシステムだけでなく、ISP、公共Wi-Fi、モバイルネットワーク、IoT機器など、ほぼすべての場所で利用されています。そのため、この脆弱性の影響は非常に広範囲にわたる可能性があります。
対応策
研究者らは、RADIUS/UDPの完全な廃止を推奨しています。代わりに、RADIUS over TLS(RADSEC)への移行を提案しています。また、マルチホップ方式の導入と、RADIUSトラフィックの公衆インターネットからの分離も推奨されています。
BlastRADIUSは、時間の経過とともにセキュリティ脆弱性になった「設計上の欠陥」の典型的な例です。特に、MD5などの古い暗号化技術を継続して使用している点は大きな問題です。これは、技術の進歩に合わせてセキュリティプロトコルも継続的に更新する必要があることを示しています。現在までに、この脆弱性を悪用した実際の攻撃事例は報告されていません。しかし、潜在的な危険性を考慮すると、迅速な対応が必要です。特に、ネットワーク機器メーカーと管理者の迅速な対応が求められます。