テクニカルトピックス
【2025.5.13】Swivel Applianceの各種セキュリティ情報が漏洩した場合のリスクについて
まず、大前提として、Swivelサーバが不正アクセスを受けるには、Swivelサーバは仮想アプライアンスですので、仮想基盤の各種セキュリティが突破されなければなりません。したがいまして、ハードルは非常に高いと考えられます。
しかしながら、万が一漏洩した場合に、どのようなリスクが考えられるかについて、以下にてご説明いたします。
◆ユーザPINのセキュリティ
Swivelサーバに登録されたユーザはPINを使用してワンタイムパスワード認証を行いますので、SwivelサーバではPINを最も重要なセキュリティ項目と捉え、厳重なセキュリティで管理しています。
ユーザPINは通常のユーザレコードには保存されていません。またデータ自体も二重暗号で管理されています。Adminユーザであっても、ユーザPINを単独で取り出すことは非常に難しいです。
したがいまして、DBの管理アカウントを取られた場合でも、ユーザPINを取り出すことはできません。
その他の項目に関して、下記にQ&A形式にてご紹介いたします。
1) プライマリDBとセカンダリDB間の同期用の共有シークレットが漏洩した場合:
1-1) この漏洩により、DBログイン情報を手動で参照することは可能ですか?
→ いいえ。データベースのログイン情報は、このセッション同期では取得できません。
1-2) このDB認証の結果、どのような情報を入手できますか?
→ この共有シークレットが漏洩した場合、漏洩したマシンの IP アドレスから、一時的なセッションデータにのみアクセスできます。
例えば、PINPadやTURingセッションは標準的な2分間複製され、消費された場合、このセッションもこの同期によって破棄されます。
なお、攻撃者がOTCを使用するためには PIN が必要ですが、PINは認証中には送信されません。
1-3) DBサーバーへのアクセスは制限されていますか?
→ はい。データベースへのアクセスはlocalhostに制限され、データベース同期のトラフィックはIPアドレスで制限されています。
→ いいえ。データベースのログイン情報は、このセッション同期では取得できません。
1-2) このDB認証の結果、どのような情報を入手できますか?
→ この共有シークレットが漏洩した場合、漏洩したマシンの IP アドレスから、一時的なセッションデータにのみアクセスできます。
例えば、PINPadやTURingセッションは標準的な2分間複製され、消費された場合、このセッションもこの同期によって破棄されます。
なお、攻撃者がOTCを使用するためには PIN が必要ですが、PINは認証中には送信されません。
1-3) DBサーバーへのアクセスは制限されていますか?
→ はい。データベースへのアクセスはlocalhostに制限され、データベース同期のトラフィックはIPアドレスで制限されています。
2) RADIUS機器と連携するためのShared Secretが漏洩した場合:
2-1) この漏洩によって、SwivelサーバーのDBや参照情報などに手動でログインできるようになりますか?
→ いいえ。RADIUSトラフィック内でデータベースへのアクセスが漏れることはありません。
2-2) このRADIUS認証ではどのような情報を取得できますか?
→ ユーザー名とワンタイムコードがRADIUSトラフィックで送信されます。
2-3) RADIUS認証はアクセス元を制限していますか?
→ Swivel NASエントリに指定されたIPアドレス制限は、NASがSwivelに対して認証することを許可するためのものです。RADIUS トラフィック自体に含まれるメッセージ認証子属性によって、トラフィックをさらに制限する機能がありますが、これはトラフィックを送信する NAS クライアントに依存します。
→ いいえ。RADIUSトラフィック内でデータベースへのアクセスが漏れることはありません。
2-2) このRADIUS認証ではどのような情報を取得できますか?
→ ユーザー名とワンタイムコードがRADIUSトラフィックで送信されます。
2-3) RADIUS認証はアクセス元を制限していますか?
→ Swivel NASエントリに指定されたIPアドレス制限は、NASがSwivelに対して認証することを許可するためのものです。RADIUS トラフィック自体に含まれるメッセージ認証子属性によって、トラフィックをさらに制限する機能がありますが、これはトラフィックを送信する NAS クライアントに依存します。
3) Swivel DB サーバの MySQL の管理アカウントが漏洩した場合:
3-1) この漏洩の結果、どのような情報を入手できますか?
→ Swivel データベースをエクスポートできる可能性がありますが、IP アクセス制限を回避するために Swivel マシンへの SSH アクセスが必要になります。このアクセスはSSHまたはWebminアクセス(ポート10000のWebminが実行されている場合)の形を取ることができます。これにより、姓、名、ユーザー名、電子メールアドレスのような特定のユーザー詳細にアクセスすることができますが、PINは暗号化されていますので取得不可能です。
3-2) DBサーバーへのアクセスは制限されていますか?
→ はい。データベースへのアクセスはlocalhostに制限され、データベースの同期トラフィックはIPアドレスで制限されています。
→ Swivel データベースをエクスポートできる可能性がありますが、IP アクセス制限を回避するために Swivel マシンへの SSH アクセスが必要になります。このアクセスはSSHまたはWebminアクセス(ポート10000のWebminが実行されている場合)の形を取ることができます。これにより、姓、名、ユーザー名、電子メールアドレスのような特定のユーザー詳細にアクセスすることができますが、PINは暗号化されていますので取得不可能です。
3-2) DBサーバーへのアクセスは制限されていますか?
→ はい。データベースへのアクセスはlocalhostに制限され、データベースの同期トラフィックはIPアドレスで制限されています。