※ 2019 年 5 月 24 日現在の情報をもとに作成しています

1. はじめに

本記事では、普段あまり見かけない特殊なセキュリティ カテゴリ「Unauthorized IP Tunnel Access」を紹介します。

New Security Category "Unauthorized IP Tunnel Access"

https://support.umbrella.com/hc/en-us/articles/232053087-New-Security-Category-Unauthorized-IP-Tunnel-Access-

2. Unauthorized IP Tunnel Access とは

Unauthorized IP Tunnel Access を文字どおり訳すと、「許可されていない IP トンネル アクセス」となりますが、ここでいう IP トンネル アクセスとは、「IP Layer Enforcement で使われる VPN トンネルでのアクセス」のことを指します。

IP Layer Enforcement は、以前の記事で説明したとおり、Roaming Client に実装されている「悪意あるサイトへの IP アドレスによるアクセスを防ぐ」機能のことで、DNS セキュリティではカバーしきれない「IP 直打ち通信」を保護します。

ポリシーで IP Layer Enforcement を有効にすると、Roaming Client によって疑いのあるトラフィックが VPN トンネルを介してクラウド上の Umbrella のサーバー (厳密には IP Layer Enforcement サーバー) に送られ、検査およびブロックが行われます。

この VPN トンネルは、Roaming Client が生成し、Roaming Client のみが使用しますが、悪意あるユーザーやソフトウェアによってこの VPN トンネルが悪用され、インターネット外部へ許可されていないアクセスが試みられる可能性があります。

そのような通信のこと「Unauthorized IP Tunnel Access」と呼んでおり、Umbrella では無条件でブロックの対象としています。

なお、Roaming Client や IP Layer Enforcement を使用していない場合、このイベントが発生することは通常ありません。

3. 設定方法

前項で説明したとおり、Unauthorized IP Tunnel Access は無条件でブロックされます。そのため、Malware などの他のセキュリティ カテゴリとは異なり、セキュリティ ポリシーで有効/無効の設定は行えません。

4. レポート表示

Unauthorized IP Tunnel Access は Activity Search レポートにのみ表示されます。以下はその表示例です。

なお、Activity Search レポートの Security Categories フィルタの中には Unauthorized IP Tunnel Access も用意されており、Unauthorized IP Tunnel Access だけを抽出することが可能です。

普通に PC を使用している限り、通常このようなアクセスは発生しませんので、Unauthorized IP Tunnel Access が記録された場合、その PC がウイルスに感染している、悪意のあるプロセスが動作しているなどの可能性が疑われます。

また、Roaming Client は、他の VPN ソフトウェアが動作していることを検知し、その場合、IP Layer Enforcement を無効にする機能を持ちますが、その動作の中でまれに Unauthorized IP Tunnel Access が検知される場合もあります。