ZTNAに複数の重大な脆弱性が発見される!(Zscaler、Check Point、Netskopeなど注意)

はじめに

ゼロトラスト・ネットワーク・アクセス（ZTNA）は、従来のVPNに代わる次世代のリモートアクセス技術として急速に普及しています。 その基本原則は「決して信頼せず、常に検証する」というものであり、よりきめ細やかなアクセス制御、改善された役割分担、継続的なID検証を可能にすると謳われています。 しかし、AmberWolfの研究者であるデビッド・キャッシュとリチャード・ウォーレンが7ヶ月にわたる調査を行った結果、主要なZTNAソリューションであるZscaler、Netskope、Check PointのPerimeter 81製品に複数の重大な脆弱性が発見されました。 これらの脆弱性は、ラスベガスで開催されたDEF CON 33で発表され、次世代リモートアクセス技術のセキュリティに関して深刻な疑問を投げかけています。 これらの問題は、認証メカニズムの完全なバイパス、組織をまたいだユーザーのなりすまし、内部企業リソースへの不正アクセス、さらには権限昇格攻撃を可能にするものであり、数千もの組織がリスクに晒される可能性を秘めています。

内容詳細

AmberWolfの調査によって特定された具体的なZTNAの脆弱性と、それを利用した攻撃の手法は以下の通りです。

• Netskope製品の脆弱性

  • IdP登録モードでの認証バイパス（CVE-2024-7401）: Netskopeクライアントでは、取り消し不可能な「OrgKey」値が悪用され、完全な認証バイパスとユーザーなりすましが可能になる脆弱性が確認されました。この問題はベンダーによって以前から認識されており、Sander di Wit氏によって報告された既知の脆弱性ですが、Netskopeは依然としてこの脆弱な認証方法のサポートを継続しています。さらに懸念されるのは、バグバウンティハンターによる実際の悪用事例が確認されているにもかかわらず、最初の開示から16ヶ月が経過した時点でも、多くの組織がこの安全でない設定を使用し続けていることです。これにより、攻撃者は有効な認証情報を必要とせずに、正当なユーザーになりすますことが可能となります。
  • 任意の（組織間）ユーザーなりすまし: 上記の認証バイパスと同様に、登録キーに加えて既知の「OrgKey」値が存在する場合、完全な認証バイパスとユーザーなりすましが発生します。このOrgKeyは、標的となるテナントと同一である必要がないため、攻撃者は異なる組織間のユーザーをなりすますことが可能となります。
  • 不正サーバーによる権限昇格: Netskopeクライアントを不正なサーバーと強制的に通信させることで、SYSTEM権限へのローカル権限昇格を実行できる脆弱性も発見されています（CVE申請中）。

• Zscalerプラットフォームの脆弱性

  • SAML認証バイパス（CVE-2025-54982）: Zscalerのプラットフォームでは、SAMLアサーションが適切にデジタル署名されていることをシステムが検証できなかったため、完全な認証バイパスが発生しました。これにより、攻撃者は正当なユーザーになりすまして、認証情報を要求されることなくシステムにアクセスすることが可能になります。Zscalerはこの脆弱性に対してCVEを発行しています。

• Check Point Perimeter 81の脆弱性

  • ハードコードされたSFTP認証情報: Check PointのPerimeter 81では、ハードコードされたSFTP認証情報が存在する脆弱性が判明しました。これにより、攻撃者は複数のテナントのクライアントログを含むSFTPサーバーにアクセスでき、その中には機密性の高いJWT認証情報も含まれていました。このような多要素データ公開は、顧客の信頼とデータ分離に対する特に深刻な侵害であり、VPNの脆弱性がネットワーク境界のセキュリティに影響するのとは異なり、これらのZTNAの脆弱性はプラットフォームのコアとなる信頼メカニズムそのものを危殆化させます。

これらの脆弱性によって、攻撃者は認証を完全に迂回し、正規ユーザーとしてウェブプロキシサービスと「プライベートアクセス」サービスの両方にアクセスできるようになります。これらのサービスは内部リソースへのトラフィックルーティングを可能にするため、オンプレミス環境への侵入につながる可能性があります。

おわりに

AmberWolfの研究結果は、「常に検証し、決して信頼しない」というZTNAの基本理念が、主要ベンダーの製品において根本的に侵害されていることを示しており、ZTNAソリューションを主要なリモートアクセス技術として採用している組織にとって、広範な影響を及ぼしています。これらの脆弱性は、従来のVPNの脆弱性がネットワーク境界のセキュリティに影響するのとは異なり、プラットフォームが構築されている中核的な信頼メカニズムそのものを危険に晒すものです。

特に懸念されるのは、ベンダーによる脆弱性開示と透明性における一貫性の欠如です。ZscalerがSAML認証バイパスに対してCVEを発行した一方で、Netskopeはサーバー側の脆弱性に対してCVEを発行しない方針を維持しており、組織が自社のリスクエクスポージャーを適切に評価することが困難になっています。SASEを利用する組織は、依存するプラットフォームの脆弱性を認識していない場合、どのようにして自社の脆弱性を把握し、リスクを評価できるのかという重要な問いが投げかけられています。

今回の発見は、ZTNAプラットフォームに対する厳格なセキュリティテストの重要性を強く示しています。英国国立サイバーセキュリティセンター（NCSC）がネットワークデバイスメーカー向けに公開したデジタルフォレンジックおよび保護監視仕様に関するガイダンスは、エッジデバイスベンダーが提供すべきフォレンジック可視化の最低限のレベルを示しており、ZTNAベンダーもこれらの基準を満たすことが求められます。

最終的に、組織はネットワークのゲートキーパーとして機能する製品のセキュリティを自ら検証し、インシデント発生時に利用可能なデータについて契約上および証拠に基づく保証をベンダーに求めるべきです。また、サーバー側の脆弱性がより透明性を持って報告されるよう働きかける必要があります。このような透明性によってのみ、組織は自社のテクノロジースタックに独自のリスク許容度を適用し、ベンダーがどの程度の頻度でリスクをもたらしているかを正確に把握できるようになるでしょう。

この脅威インテリジェンス レポートから抽出された MITRE ATT&CK フレームワークに関連する主な手法と戦術は以下の通りです。

1. 認証バイパス (Authentication Bypass)

• MITRE ATT&CK テクニック: T1550 - 資格情報アクセス

• 説明: レポートでは、Zscaler、Netskope、Check Point の製品に存在する複数の高度な認証バイパス脆弱性が報告されています。これらの脆弱性により、攻撃者は正規のユーザー資格情報を必要とせずに、認証メカニズムを完全に回避できます。

2. 権限昇格 (Privilege Escalation)

• MITRE ATT&CK テクニック: T1078 - 有効な アカウントの使用

• 説明: Netskope の製品では、不正なサーバーを利用して権限昇格が可能な脆弱性が発見されました。これにより、攻撃者は不正な方法で内部リソースにアクセスできるようになります。

3. 組織間のユーザー詐称 (Cross-Organization User Impersonation)

• MITRE ATT&CK テクニック: T1078 - 有効な アカウントの使用

• 説明: Netskope の製品には、組織間でユーザーを詐称する脆弱性が存在します。これにより、攻撃者は他の組織のユーザーになりすまし、不正にアクセスできるようになります。

4. 機密データの露出 (Sensitive Data Exposure)

• MITRE ATT&CK テクニック: T1213 - 情報収集

• 説明: Check Point の製品では、クライアントログに含まれる機密的な JWT 認証情報が露出する脆弱性が発見されました。これにより、攻撃者は顧客の機密データにアクセスできる可能性があります。

全体的な傾向として、これらの脆弱性は Zero Trust Network Access (ZTNA) ソリューションの信頼メカニズムを根本的に損なうものです。従来のVPNの脆弱性とは異なり、これらの問題は ZTNA プラットフォームの中核的な機能に影響を及ぼします。

また、ベンダー間の脆弱性開示の不統一さも問題点として指摘されています。一部のベンダーはCVEを発行しているのに対し、他のベンダーは対応していないため、組織がリスクを適切に評価するのが困難になっています。

この報告書は、ZTNA ソリューションに対する徹底的なセキュリティテストの重要性を強調しています。これらのソリューションが組織の重要なインフラストラクチャとデータを保護する上で不可欠となっているため、ベンダーは透明性を高め、迅速な脆弱性対応が求められます。