先日(2024年1月24日)、情報処理推進機構（IPA）より「情報セキュリティ10大脅威 2024」が発表されました。

本年も「組織」向けの脅威において「ランサムウェアによる被害」は選出されており、これで9年連続となりました。
さらに、2024年においてもランキング一位となり、2021年から4年連続で首位となっています。

実際に、警察庁が2023年(令和5年)9月に発表した「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、2023年上半期のランサムウェア被害報告件数は103件と、高い水準で推移しています。

いまだ記憶に新しい徳島県つるぎ町立半田病院や、カプコン社のランサムウェア被害事件では、ランサムウェアはVPN機器から侵入したとのことです。
ランサムウェアの被害は依然として多く、より一層の対策が欠かせません。

ランサムウェアによる被害を防ぐには様々な側面での対応策がありますが、今回は、ランサムウェアの感染経路としてのVPNや、「アタックサーフェス（攻撃表面/攻撃対象領域)」などについて解説します。

前回のブログはこちら！

第１回 ゼロトラストはなぜ必要になったのか？「なぜ」がわかると「何が必要か」がわかる！　【今さら聞けない ゼロトラストことはじめ】 | デジタルテクノロジー株式会社

ランサムウェアの感染経路

まず、従来のセキュリティについて振り返ってみましょう。

かつて、マルウェアの侵入経路はある程度限定されていました。「メール」「Web」からの侵入がほとんどでした。

例えば、マルウェアが添付されたメールを受信し、開封してしまった場合、マルウェアに感染してしまいます。感染したマルウェアは、外部のC2（C&C: Command and Control）サーバーに通常の通信を装って指示を仰ぎます。そして、データを流出させたり、DoS攻撃などの攻撃に利用したりと、悪意のある行動を起こします。

そのため、マルウェアの侵入を防ぐためには、「メール」「Web」へのセキュリティ対策が非常に重要でした。

一方、現在企業を取り巻くIT環境を見てみましょう。

企業が取り扱う情報・システムはインターネットを介し様々な場所に分散しています。

そのため、これまで外部からの主な侵入経路であった「メール」「Web」のみならず、インターネットに面している全システムがターゲットとみなされるようになったのです。

このように、攻撃者からサイバー攻撃を受ける可能性のあるデバイスやソフトウェアなどの全てを「アタックサーフェス（攻撃表面/攻撃対象領域）」と呼びます。アタックサーフェスについては後程記載します。

複数あるターゲットのうち、どこかに対策が"弱い部分"があると、攻撃者はそこから侵入を試みます。
よって、「メール」や「Web」以外にもさまざまなセキュリティ対策が必要になってきたのです。

現在の主なランサムウェア感染経路は「VPN」

では、その"弱い部分"とは、具体的には何を指すのでしょうか？

警察庁のデータを確認すると、2023年上半期においてはランサムウェアの感染経路は「VPN」からの侵入が最も多く、全体の71%という結果になっています。これは前年のデータでもほぼ同様の結果です。

「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」(警察庁)を加工して作成

注　図中の割合は小数点第1位以下を四捨五入しているため、統計が必ずしも100になりません。

VPN機器で放置されていた脆弱性や、強度の弱い認証情報などを狙って、攻撃者は侵入を試みます。

これを防ぐには、適切なアクセス制御やセキュリティパッチの適用などの対策を、継続的に実施していく必要があります。

適切な対応をせずに放置しているVPN機器が無いか、今一度確認しましょう。

脆弱性情報は、IPAやJPCERT/CCなどが随時発表しています。可能であれば、以下のサイトも利用し、最新の情報を手に入れるようにするとよいでしょう。

https://www.ipa.go.jp/security/security-alert/index.html
重要なセキュリティ情報 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

https://www.jpcert.or.jp/
JPCERT コーディネーションセンター

アタックサーフェス（攻撃表面/攻撃対象領域）とラテラルムーブメント

アタックサーフェス（攻撃表面/攻撃対象領域）とは

アタックサーフェスとは、攻撃者がサイバー攻撃を行うターゲットのことで、デバイスやソフトウェアなど全てを指します。

アタックサーフェス
システムにおいて、サイバー攻撃を受ける可能性の あるすべての攻撃点、経路のこと

 
政府情報システムにおける セキュリティ・バイ・デザインガイドライン
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/2a169f83/20220630_resources_standard_guidelines_guidelines_01.pdf

ラテラルムーブメントとは

さらに攻撃者は、さまざまな場所に存在するアタックサーフェスから侵入し、内部で横展開を行い、より重要なデータにアクセスできるよう権限を昇格させ、被害を大きくします。

こういった横展開のことをラテラルムーブメントといいます。

 
そのため近年は、アタックサーフェスを減らすことで攻撃を受ける可能性がある箇所を減らし、攻撃を受けた場合も横展開を防ぐため、常にネットワーク内の通信やアクセスを疑いチェックを行う「ゼロトラスト」の考え方で、セキュリティを構築していくことが求められています。

なお、ゼロトラストについては、前回のブログで詳しく説明しています。

第１回 ゼロトラストはなぜ必要になったのか？「なぜ」がわかると「何が必要か」がわかる！　【今さら聞けない ゼロトラストことはじめ】 | デジタルテクノロジー株式会社

では、ランサムウェア感染において、なぜVPN機器からの侵入が最も多いのでしょうか？

理由は大きく二つあります。

①外部公開されているため

根本的な理由ですが、VPN機器はインターネットに外部公開されています。
外部ネットワークから社内ネットワークに接続するためという仕様上、グローバルIPで運用されており、外から中に入ってくることが前提の作りとなっています。
そのため、VPN機器はアタックサーフェスになりえます。

特に近年はテレワークの普及により、テレワークを行うために必要なIT機器やサービスの導入が盛んでした。
こういったニューノーマルな働き方を狙った攻撃もまた、盛んになったのです。

②比較的薄い対策と、侵害追跡機能の弱さがあるため

従来主な侵入口だった「メール」「Web」はフィルタリングやデータの中身を確認するなど、厳重な対策を固められていることが多く、侵入は容易ではないことが多いです。

しかしVPN機器は、IDとパスワードによる認証のみなど、比較的セキュリティ対策が薄いことも少なくありません。また、未対応の脆弱性が放置されていることもあります。

更に、FWやVPN機器において、許可された通信に関してはログを残さない運用にしている場合も多く、後から侵害を追跡する手段が弱いことも狙われやすさに拍車をかけています。

つまり、外部公開されているVPN機器はアタックサーフェスであるため攻撃対象になりやすく、そこに認証やOSの未アップデートなどの脆弱性が残っているとそこから侵入されてしまうのです。

さらに、VPN機器はラテラルムーブメントにも弱いことが問題点として挙げられます。

VPNは、ユーザが一度認証され接続が確立されると、ユーザは企業ネットワーク内のリソースに自由なアクセス権が与えられます。
攻撃者がVPN経由で社内ネットワークに侵入した場合、通信内容やアクセス先はチェックされることなく自由にネットワーク内を移動することができてしまいます。

そこで、現在は「脱VPN」というキーワードが叫ばれるようになり、VPN機器に代わり、ZTNA（≒ SDP:Software Defined Perimeter）への転向が検討されるようになっています。

ZTNAでは社内のアプリケーションやデータにアクセスする前に、常に認証と認可が発生します。企業ネットワーク内のリソースにアクセスする権限を常に最小限に抑えることで、よりセキュリティが向上します。

VPN機器と異なり、毎回アクセスをチェックすることにより、ラテラルムーブメントを防ぐことができるのです。

管理の手間と脆弱性対策、コスト

VＰＮ機器が狙われる理由や問題点を挙げてきましたが、「VPN機器＝悪」というわけではありません。

適切なアカウント管理と脆弱性対策ができていれば、VPNのサイバー攻撃被害はかなりの部分で低減できるのです。

例えばVPN機器は以下のセキュリティ対策を行うことが推奨されます。

VPN機器のセキュリティ対策

• VPN機器の脆弱性情報の把握と迅速な修正プログラム適用
• VPN機器の前にIPS（侵入防御システム）を設置する等の脆弱性攻撃対策を行う
• VPN機器の認証情報（アカウント情報）の管理（不要なアカウント削除、多要素認証の導入など）
• VPN機器のパスワード変更（CVE-2018-13379など認証情報を窃取する脆弱性の場合、修正プログラムを適用しても、その前に攻撃を受けていた場合には、既に窃取されている認証情報で攻撃者によるVPN接続が行われる恐れがあるため）
• 通信の監視（ブルートフォースなどの攻撃監視）
• 国内外の拠点などを含めた利用機器の把握と対策（資産管理と対策の実施、テレワークやワーケーション導入など新しい働き方への対応にあわせ設置した機器の管理や使用しなくなった機器の無効化）
• 取引先などサプライチェーンのセキュリティ管理状況の把握やセキュリティ対策呼びかけ
• 侵入、異常に早期検知・対処できるセキュリティ技術の導入（EDR/XDR）

VPN、サイバー攻撃被害に共通するセキュリティの注意点 | トレンドマイクロ

https://www.trendmicro.com/ja_jp/jp-security/23/d/securitytrend-20230426-02.html

しかし、漏れなく運用をきちんと行っていくことは大変です。

テレワークや外部ネットワークからのアクセスなど、外部接続の手段をきちんと整備しつつ、セキュリティ対策を行っていくことは大きな負担になります。

前回のブログでもご紹介したような、ZTNAなどのクラウドサービスを活用することで、情報システム部の負担を軽減させつつ、確実なセキュリティ対策を実現することが可能になります。

ぜひ自社に合った対策方法を考案する際は、クラウドサービスの利用も検討してみてください。