簡単で安全なクラウド認証を始めましょう

お問い合わせ

SingleIDのBlast RADIUS(RADIUSとMD5の脆弱性攻撃)への対応

7月 15, 2024 | お知らせ, 技術ブログ

RADIUS (Remote Authentication Dial-In User Service) は、1991年に初めて設計されたものの、現在でもリモートアクセスのための軽量認証プロトコルとして広く使用されています。しかし、RADIUSはMD5という古い暗号化方式に依存しており、これが新たにセキュリティ研究者によって報告された「Blast RADIUS攻撃」(CVE-2024-3596)の対象となっています。

この攻撃は、RADIUSクライアント(ネットワークデバイスやサービス)とRADIUSサーバー間の中間者攻撃です。認証リクエストおよびレスポンスを偽造することが可能となり、攻撃者はパスワードや共有秘密鍵を推測または総当たりすることなく、ネットワークデバイスやサービスにアクセスできるようになります。

RADIUSクライアントとRADIUSサーバー間の通信を傍受・ブロック・変更できる中間者攻撃によってのみ実行可能なため、実際には、攻撃の障壁は非常に高いといます。ただし、クラウドRADIUSのように、インターネットを経由してRADIUSを利用している場合には、特に、憂慮すべき攻撃となります。

以下に、Blast RADIUSの説明とSingleIDの対策についてご説明します。

なお、SingleIDのクラウドRADIUSは、Blast RADIUSの攻撃から保護されていますので、ご安心ください。

影響を受ける環境

RADIUS/UDP通信のPAP、CHAP、MS-CHAP認証モードを使用している場合に、Blast RADIUSに対して脆弱です。

RADIUS over TLS(RadSec)の使用、EAP認証モード(IEEE802.1X認証)の使用の場合には、Blast RADIUSに対して脆弱ではありません。無線LAN通信の認証でよく使用されるWPA2/3 Enterpriseは、EAP認証モードに含まれますので、脆弱ではありません。

想定される被害

Blast RADIUS攻撃は、企業や通信ネットワーク上の多くのネットワークデバイスに影響を及ぼす可能性があります。攻撃者がRADIUSによる認証をバイパスできれば、ネットワークデバイスやサービスに不正アクセスできるようになります。これにより、攻撃者はネットワークの流れを制御し、トラフィックをリダイレクトしたり、ルートを追加・削除したりすることが可能になります。

攻撃手法

Blast RADIUS攻撃の具体的な手順は以下の通りです:

1. 誤ったユーザー名とパスワードの入力: 攻撃者がユーザーを装い、誤ったユーザー名とパスワードを入力します。
2. リクエストの送信: RADIUSクライアントがRADIUSサーバーにRADIUSリクエストを送ります。
3. リクエストの傍受と改変: 攻撃者は中間者攻撃を実行してRADIUSリクエストを傍受し、MD5衝突攻撃を行ってRADIUSサーバーへのRADIUSリクエストを改変します。
4. アクセス拒否の傍受と改変: 攻撃者はRADIUSサーバーからのアクセス拒否を傍受し、RADIUSクライアントへの応答を改変してアクセス許可に変更します。

この攻撃手順により、攻撃者はパスワードや共有秘密鍵を推測または総当たりすることなく、ネットワークデバイスやサービスにアクセスできるようになります。攻撃者はユーザーの資格情報を知ることはありません。

なお、この攻撃はRADIUSクライアントとサーバー間の中間者攻撃者が実行可能で、攻撃者が被害者のデバイスのRADIUSクライアントおよびサーバー間を通過するすべてのデータの読み取り・ブロック・変更が可能である場合に限ります。

対策

短期的な緩和策

SingleIDのクラウドRADIUSは、セキュリティ研究者から提供されているガイダンスに従った短期的な緩和策をすでに適用しているため、Blast RADIUSから保護されています。クラウドRADIUSと連携しているお客様のネットワーク機器との互換性を損なわないよう十分に検討し、最適な方法を採用しておりますので、お客様自身での対処は不要です。

恒久的な緩和策

将来的に、短期的な緩和策をかいくぐるような、より高度で洗練されたMD5衝突攻撃が報告されることは十分考えられます。そのため、長期的にBlast RADIUSを防ぐには、RADIUSを転送する際にTLSまたはDTLSを使用することが必要です。これは、通信の暗号化を強化し、攻撃者が通信を傍受・改ざんするのを防ぐための対策です。この対策には、RADIUSクライアント(ネットワークデバイス)側で、RADIUS over TLS(RadSec)をサポートしている必要があります。

以上、Blast RADIUSおよびSingleIDの対策についてお伝えしました。皆様の安全と信頼を守るために、我々は常に最善を尽くしてまいります。

参考文献

https://www.blastradius.fail/

https://blog.cloudflare.com/radius-udp-vulnerable-md5-attack

YAMAHA RTXのリモートアクセスVPNを二要素認証へ

Related Posts

中小企業が知っておくべきサイバーセキュリティ格付け制度と認証強化の重要性

中小企業が知っておくべきサイバーセキュリティ格付け制度と認証強化の重要性

10月 5, 2025 | ,

中小企業によるセキュリティ対策はもはや“選択”ではなく“必須”です。2026年度から始まるサプライチェーン強化のための格付け制度により、企業の認証体制やアクセス制御が評価基準となります。本記事では、★1〜★5の格付け制度の概要、多要素認証の重要性、統合認証システム導入の手法、そして中小企業が段階的にセキュリティ強化を進めるための戦略を解説します。

続きを読む
H3C無線APに対応、SingleIDがクラウド完結型Wi-Fi認証を提供開始

H3C無線APに対応、SingleIDがクラウド完結型Wi-Fi認証を提供開始

8月 5, 2025 | ,

株式会社SingleIDは、H3C社製無線APおよびクラウド管理機能との連携検証を完了し、問題なく利用できることを発表しました。これにより、オンプレミス機器や固定IPを必要とせず、クラウドRADIUS/クラウドPKIを活用して、EAP-TLS によるセキュアな Wi-Fi 認証がクラウド中心で実現可能となります。さらに Intune 連携による自動証明書発行もサポートします。

続きを読む
YAMAHAルーター・APに設定を追加するだけで、VPN・Wi-Fiをゼロトラスト化

YAMAHAルーター・APに設定を追加するだけで、VPN・Wi-Fiをゼロトラスト化

6月 26, 2025 | , ,

中小企業にとって、セキュリティ対策は急務です。YAMAHAルーターとAPにSingleIDのクラウドRADIUSを組み合わせることで、手軽にゼロトラスト環境を実現できます。このシステムは、従来のパスワード認証の限界を打破し、多層的な認証を可能にすることで、リモートワークの安全性を大幅に向上させます。IT予算が限られている企業でも、シンプルかつ効果的にセキュリティを強化し、業務をスムーズに行える未来を手に入れましょう。

続きを読む

まずはお気軽にご相談ください

料金や契約形態は販売パートナーによって異なります。
お見積りや導入のご相談、または販売パートナーのご紹介をご希望の方は、下記よりお問い合わせください。

お問い合わせフォームへ