VPN機器の脆弱性を狙った侵入(最多経路)
なぜVPN機器が狙われるのか
VPN(Virtual Private Network)は、社外から社内ネットワークに安全に接続するための仕組みです。2020年以降のテレワーク普及により、多くの企業がVPN機器を導入しました。しかし、この急速な導入が新たな攻撃対象を生み出しています。
VPN機器が狙われる理由は明確です。VPN機器は24時間365日、インターネットに接続された状態で稼働しています。攻撃者にとっては、常に攻撃可能な「入口」がそこにあるのです。しかも、VPN経由で侵入できれば、ファイアウォールの内側に直接アクセスできます。
さらに問題なのは、VPN機器のファームウェア(制御ソフトウェア)の更新が遅れがちなことです。業務への影響を懸念して更新を先延ばしにしたり、そもそも更新の必要性を認識していなかったりするケースが少なくありません。
実際の侵入の流れ
攻撃者はまず、インターネット上で脆弱性のあるVPN機器を探します。専用のスキャンツールを使えば、脆弱性を持つ機器を自動的に発見できます。
過去には、Fortinet社やPulse Secure社のVPN製品に重大な脆弱性が発見され、多くの企業が被害を受けました。これらの脆弱性を悪用すると、認証をバイパスして社内ネットワークに侵入したり、管理者の認証情報を窃取したりすることが可能でした。
攻撃の流れは以下のようになります。
- 脆弱性スキャンで対象を発見
- 公開されている攻撃コードを使用して侵入
- 認証情報を窃取し、正規ユーザーになりすます
- 社内ネットワークを探索し、ランサムウェアを展開
VPN経由の感染を防ぐには
VPN機器の脆弱性を狙った攻撃を防ぐためには、以下の対策が有効です。
- ファームウェアの迅速なアップデート
- 脆弱性情報が公開されたら、可能な限り早くアップデートを適用します。特に「緊急」「重要」とされる脆弱性は、即座に対応が必要です
- 多要素認証(MFA)の導入
- パスワードだけでなく、ワンタイムパスワードや生体認証など、複数の認証要素を組み合わせることで、認証情報が漏洩しても不正アクセスを防げます
- VPNログの監視
- 通常とは異なる時間帯や場所からのアクセスを検知し、不審な接続を早期に発見します
- ゼロトラストへの移行検討
- VPNに依存しない新しいセキュリティモデルへの移行も選択肢です。詳しくはゼロトラスト導入ガイドをご覧ください
警察庁統計データ
警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアの感染経路は以下のように報告されています。
| 感染経路 | 割合 | 特徴 |
|---|---|---|
| VPN機器からの侵入 | 63% | テレワーク普及により急増。脆弱性の放置が主原因 |
| リモートデスクトップ | 18% | 弱いパスワードや公開設定が狙われる |
| 不審なメール・添付ファイル | 5% | 標的型攻撃で使用されることが多い |
| その他・不明 | 14% | 内部不正、サプライチェーン等 |
※出典:警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」
フィッシングメール・標的型攻撃メール
典型的な手口
フィッシング詐欺を利用したランサムウェア攻撃は、依然として大きな脅威です。攻撃者は巧妙なメールを送り、受信者に悪意のあるファイルを開かせたり、不正なリンクをクリックさせたりします。
- 添付ファイル型
- 請求書、見積書、履歴書などを装ったWord、Excel、PDFファイルが添付されています。ファイルを開くと、マクロやスクリプトが実行され、ランサムウェアがダウンロードされます
- リンク型
- 「パスワードの確認」「荷物の配送状況」などを口実に、偽サイトへのリンクをクリックさせます。リンク先でマルウェアが自動的にダウンロードされることがあります
- なりすまし型
- 取引先、銀行、配送業者、官公庁などを装ったメールで、受信者の警戒心を解きます
2024-2025年の巧妙な手口
近年、攻撃メールの巧妙さは格段に向上しています。生成AIの発達により、自然な日本語で書かれた攻撃メールが増加しています。以前は不自然な日本語が見分けるポイントでしたが、今ではそれだけでは判断できなくなっています。
また、実在の取引先になりすまし、過去のメールのやり取りを引用するケースも報告されています。これはソーシャルエンジニアリングの高度な手法で、「この人なら知っているはず」という信頼を悪用しています。
件名や本文が受信者の業務に合わせてパーソナライズされていることも増えています。「○○株式会社 御中」と実名が入っていたり、実際の取引内容に言及していたりすると、つい信用してしまいがちです。
見分け方のポイント
- 送信者アドレスの確認
- 表示名ではなく、実際のメールアドレスを確認します。「amazon.co.jp」を装っていても、実際のアドレスが「amazon-support@○○.com」などの別ドメインであれば偽物です
- 添付ファイルの拡張子
- .exe、.scr、.js、.vbs、.bat などの実行可能ファイルは危険です。また、.docm、.xlsm などマクロ付きOfficeファイルにも注意が必要です
- リンク先URLの確認
- リンクにマウスカーソルを合わせ(クリックせずに)、実際のURLを確認します。短縮URLや見慣れないドメインは警戒が必要です
- 緊急性を煽る文面
- 「今すぐ確認しないとアカウントが停止されます」「24時間以内に対応が必要です」など、焦らせる文面は詐欺の典型的な特徴です
対策
メール経由の攻撃を防ぐには、技術的対策と人的対策の両方が必要です。
- メールフィルタリングの導入:不審なメールを自動的に検知・隔離するシステムを導入します
- 従業員教育・訓練:定期的な訓練で、不審なメールを見分ける力を養います。詳しくは訓練・演習ガイドをご覧ください
- 添付ファイルの無害化:添付ファイルを自動的にサニタイズ(無害化)する製品もあります
- 多層防御:1つの対策だけでなく、複数の対策を組み合わせることが重要です
RDP(リモートデスクトップ)経由の侵入
RDPとは
RDP(Remote Desktop Protocol)は、Windows標準のリモートアクセス機能です。離れた場所からパソコンを操作できる便利な機能で、テレワークや遠隔サポートに広く使われています。
自宅から会社のパソコンを操作したり、IT部門が従業員のパソコンを遠隔でサポートしたりする際に利用されます。画面がそのまま転送されるため、まるでその場にいるかのように操作できます。
RDPが狙われる理由
RDPが攻撃者に狙われる理由は、多くの組織でRDPポートがインターネットに公開されているためです。本来、RDPは社内ネットワーク内での使用を想定していますが、利便性のためにインターネットからアクセス可能な状態にしているケースがあります。
攻撃者は以下の方法でRDP経由の侵入を試みます。
- 総当たり攻撃(ブルートフォース)
- よく使われるパスワードのリストを使い、自動的にログインを試みます。「password123」「admin」など単純なパスワードは数分で突破されます。詳しくは総当たり攻撃(ブルートフォース攻撃)をご覧ください
- 認証情報の購入
- ダークウェブでは、すでに窃取されたRDPの認証情報が売買されています。数百円から数千円程度で、企業のRDPアクセス権が取引されていることもあります
- 脆弱性の悪用
- RDP自体に脆弱性が発見されることもあり、「BlueKeep」などの深刻な脆弱性が過去に報告されています
侵入の流れ
攻撃者はまず、インターネット上でRDPポート(通常は3389番)が開いているサーバーを探します。これは自動化されたスキャンツールで簡単に行えます。
次に、発見したサーバーに対して認証を試みます。総当たり攻撃を行ったり、ダークウェブで購入した認証情報を使ったりします。認証に成功すると、正規のユーザーとして堂々とログインできてしまいます。
対策
RDP経由の攻撃を防ぐための対策は以下の通りです。
| 対策 | 効果 | 実施の難易度 |
|---|---|---|
| インターネットへのRDP公開を禁止 | 最も効果的。根本的な対策 | 低(設定変更のみ) |
| VPN経由でのアクセスに限定 | RDPを直接公開しない | 中(VPN環境が必要) |
| 強力なパスワード+MFA | 不正ログインを防止 | 低〜中 |
| アカウントロックアウト設定 | 総当たり攻撃を遮断 | 低(設定変更のみ) |
| RDPポートの変更 | スキャンを回避(効果は限定的) | 低 |
| Network Level Authentication有効化 | 認証前の攻撃を防止 | 低 |
最も重要なのは、RDPをインターネットに直接公開しないことです。どうしてもリモートアクセスが必要な場合は、VPN経由でのみアクセスできるようにするか、クラウド型のリモートアクセスサービスの利用を検討してください。
USBメモリ・外部デバイス経由
感染パターン
USBメモリなどの外部デバイスを経由した感染は、古典的ながら今でも有効な攻撃手法です。
- 感染したUSBの持ち込み
- 自宅のパソコンで感染したUSBメモリを、知らずに会社に持ち込んでしまうケースです。個人のUSBを業務に使用している場合に発生しやすくなります
- USBドロップ攻撃
- 駐車場や受付など、会社の敷地内にUSBメモリを意図的に落としておく手口です。拾った人が「誰のものだろう」と好奇心でパソコンに挿してしまうことを狙っています
- 外部委託先からの感染
- データの受け渡しに使ったUSBメモリが感染していたというケースです。委託先のセキュリティ管理が不十分な場合に起こります
なぜ危険なのか
USBメモリからの感染が危険な理由は、ネットワーク経由のセキュリティ対策をすべてバイパスしてしまう点にあります。
ファイアウォールやメールフィルタリングは、ネットワーク経由の攻撃には有効ですが、物理的に持ち込まれたデバイスには無力です。USBメモリを挿した瞬間に、マルウェアが自動実行される仕組みもあります。
また、悪意あるUSB(BadUSB等)という高度な攻撃手法も存在します。これは、USBメモリがキーボードとして認識され、自動的にコマンドを入力するというものです。セキュリティソフトでも検知が困難です。
対策
- USB使用ポリシーの策定
- 業務で使用するUSBメモリを会社支給品に限定し、私物の使用を禁止します
- 従業員教育
- 「落ちているUSBを拾っても挿さない」という基本的なルールを徹底します
- USB使用制限ソフトの導入
- 未登録のUSBデバイスを接続できないようにするソフトウェアを導入します
- 持ち込み媒体のウイルスチェック
- 外部から持ち込まれたUSBは、専用の端末でウイルスチェックしてから使用します
Webサイト閲覧(ドライブバイダウンロード)
ドライブバイダウンロードとは
ドライブバイダウンロードとは、Webサイトを閲覧しただけでマルウェアに感染する攻撃手法です。悪意のあるコードが埋め込まれたサイトにアクセスすると、ユーザーの操作なしに自動的にマルウェアがダウンロード・実行されます。
「怪しいサイトに行かなければ安全」と思われがちですが、正規のサイトが改ざんされて攻撃に使われるケースもあります。また、広告ネットワークを悪用した「マルバタイジング」では、大手ニュースサイトに表示された広告経由で感染することもあります。
感染の流れ
ドライブバイダウンロードの典型的な流れは以下の通りです。
- ユーザーがWebサイトにアクセス
- サイトに埋め込まれた不正なスクリプトが実行される
- ブラウザやプラグインの脆弱性を悪用
- マルウェアが自動的にダウンロード・実行される
- ユーザーは感染に気づかない
攻撃者は、Adobe Flash Player(現在はサポート終了)やJava、ブラウザ自体の脆弱性を悪用してきました。これらのソフトウェアを最新に保っていないと、サイトを見ただけで感染するリスクがあります。
対策
| 対策 | 内容 |
|---|---|
| ブラウザの最新化 | Chrome、Edge、Firefoxなどを常に最新バージョンに保ちます |
| プラグインの更新・削除 | 不要なプラグインは削除し、必要なものは最新に保ちます |
| 広告ブロッカーの活用 | マルバタイジング対策として有効です |
| Webフィルタリング | 危険なサイトへのアクセスを組織的にブロックします |
| ブラウザの分離 | 重要業務とWeb閲覧を別環境で行う高度な対策もあります |
サプライチェーン経由の攻撃
サプライチェーン攻撃とは
サプライチェーン攻撃とは、ターゲットの組織を直接攻撃するのではなく、取引先や委託先、使用しているソフトウェアなどを経由して侵入する手法です。
自社のセキュリティをいくら強化しても、取引先のセキュリティが甘ければ、そこを踏み台にして侵入されてしまいます。「信頼している相手」からの攻撃であるため、検知が難しいのが特徴です。
サプライチェーン攻撃には主に2つのパターンがあります。
- 取引先・委託先経由
- セキュリティの弱い取引先に侵入し、そこを踏み台にしてターゲット企業に侵入します
- ソフトウェア経由
- 正規のソフトウェアのアップデートに不正なコードを混入させ、アップデートを適用した組織に感染を広げます
国内の事例
日本でもサプライチェーン経由のランサムウェア被害が発生しています。
2022年には、トヨタ自動車のサプライヤーである小島プレス工業がランサムウェア攻撃を受け、トヨタの国内全14工場が稼働停止に追い込まれました。部品供給が止まったことで、最終製品の製造まで影響を受けた典型的な事例です。
2024年には、印刷会社のイセトーがランサムウェア被害を受け、委託元である複数の自治体や金融機関の情報が流出する事態となりました。
これらの事例は、サプライチェーン経由のランサムウェア攻撃で詳しく解説しています。
対策の難しさ
サプライチェーン攻撃への対策が難しいのは、自社だけの努力では防ぎきれない点にあります。いくら自社のセキュリティを強化しても、取引先が攻撃を受ければ、そこから被害が及ぶ可能性があります。
また、使用しているソフトウェアの開発元が攻撃を受けた場合、正規のアップデートを適用しただけで感染してしまいます。この場合、「アップデートを適用する」というセキュリティの基本動作が、かえって感染の原因になるという皮肉な状況が生まれます。
対策
- 委託先・取引先のセキュリティ確認
- 契約前にセキュリティ体制を確認し、定期的な監査を実施します
- 契約書でのセキュリティ条項
- セキュリティ要件を契約に明記し、インシデント発生時の報告義務を定めます
- サプライチェーンリスク評価
- 重要なサプライヤーを特定し、リスクを評価・管理します
- ネットワーク分離
- 取引先との接続ポイントを限定し、侵害が発生しても被害を局所化します
内部不正・意図的な持ち込み
内部犯行のパターン
内部不正(インサイダー脅威)によるランサムウェア被害も存在します。外部からの攻撃だけでなく、組織内部の人間による犯行も考慮が必要です。
- 不満を持つ従業員
- 待遇への不満や人間関係のトラブルから、意図的にランサムウェアを実行するケース
- 金銭目的での協力
- 攻撃グループから報酬を受け取り、社内システムへのアクセス権を提供したり、マルウェアを実行したりするケース
- 退職予定者
- 解雇予定を知った従業員が、退職前にデータを破壊するケース
検知の難しさ
内部犯行が検知しにくい理由は、正規のアクセス権限を持っているためです。外部からの不正アクセスと異なり、ファイアウォールや侵入検知システムでは発見できません。
「いつもの業務」に見せかけて不正を行うため、ログを見ても正常な操作との区別がつきにくいのです。また、内部の人間は組織の弱点や重要データの所在をよく知っているため、効率的に攻撃を実行できます。
対策
| 対策 | 内容 |
|---|---|
| アクセス権限の最小化 | 業務に必要な最小限の権限のみを付与します(最小権限の原則) |
| 特権アカウントの監視 | 管理者権限を持つアカウントの操作を重点的に監視します |
| 退職時の即時権限削除 | 退職が決まったら速やかにアクセス権限を削除します |
| ログの監視・分析 | 異常な操作パターンを検知するための監視体制を整えます |
| 従業員の満足度向上 | 不満の蓄積を防ぐための職場環境改善も重要です |
感染経路別対策一覧
7つの感染経路について、危険度と対策をまとめました。
| 経路 | 危険度 | 主な対策 | 対策コスト |
|---|---|---|---|
| VPN機器の脆弱性 | 高 | ファームウェア更新、MFA導入、ゼロトラスト検討 | 中〜高 |
| フィッシングメール | 高 | メールフィルタリング、従業員教育、添付ファイル無害化 | 中 |
| RDP | 高 | インターネット公開禁止、VPN経由化、MFA | 低〜中 |
| USB・外部デバイス | 中 | 使用制限、教育、ウイルスチェック | 低〜中 |
| Webサイト閲覧 | 中 | ブラウザ更新、広告ブロック、Webフィルタリング | 低 |
| サプライチェーン | 高 | 取引先評価、契約条項、ネットワーク分離 | 高 |
| 内部不正 | 中 | 権限最小化、監視、退職管理 | 中 |
※危険度は警察庁統計および業界動向を踏まえた評価です
よくある質問(FAQ)
- Q: 中小企業はVPN機器を使っていませんが安全ですか?
- A: VPNを使っていなくても安全とは言えません。クラウドサービスの認証情報、RDPの設定不備、フィッシングメールなど、他の感染経路からの攻撃リスクは依然として存在します。むしろ、セキュリティ担当者がいない中小企業は、攻撃者にとって狙いやすいターゲットとなる可能性があります。
- Q: 最新のセキュリティソフトを入れていれば感染しませんか?
- A: セキュリティソフトは重要な対策ですが、それだけでは不十分です。最新のランサムウェアはセキュリティソフトをすり抜ける技術を持っていることがあります。ソフトウェアの更新、バックアップ、従業員教育など、複数の対策を組み合わせる「多層防御」が重要です。詳しくは対策完全ガイドをご覧ください。
- Q: 社員がフィッシングメールを開いてしまった場合、すぐにわかりますか?
- A: 残念ながら、すぐにわからないケースが多いです。高度なランサムウェアは、侵入後しばらく潜伏し、環境調査やバックアップ破壊を行ってから暗号化を開始します。この潜伏期間は数日から数週間に及ぶこともあります。早期発見のためには、EDR(Endpoint Detection and Response)などの監視ツールの導入が有効です。
- Q: テレワーク環境で特に注意すべき感染経路は?
- A: VPN機器の脆弱性、RDPの公開、そして自宅ルーターのセキュリティが主なリスクです。自宅のネットワークは会社ほどセキュリティが強固でないことが多く、攻撃者に狙われやすい環境です。会社支給端末の使用徹底、VPN経由のアクセス、自宅ルーターのファームウェア更新などの対策が重要です。
- Q: サプライチェーン経由の攻撃は中小企業でも起きますか?
- A: はい、むしろ中小企業が「踏み台」として狙われるケースがあります。大企業を直接攻撃するのは困難でも、セキュリティの弱い取引先を経由すれば侵入できることがあります。「うちは小さいから狙われない」という考えは危険です。自社が被害者になるだけでなく、取引先に被害を与える加害者になる可能性も考慮する必要があります。
関連ページへの導線
【もっと詳しく知りたい方へ】
- ランサムウェアの全体像を学ぶ → ランサムウェアとは?(総合ガイド)
- 暗号化の仕組みを理解する → ランサムウェアの仕組み
- 対策を始める → 対策完全ガイド
- 感染時の対応を知る → 感染時の対応手順
ランサムウェアの基礎を学ぶ
対策を始める
免責事項
【ご注意・免責事項】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する専門的助言ではありません
- 実際に被害に遭われた場合は、以下の公的機関にご相談ください
- 警察相談専用ダイヤル:#9110
- 消費生活センター:188
- IPA情報セキュリティ安心相談窓口:03-5978-7509
- セキュリティ対策の導入は、専門家やベンダーと相談の上ご判断ください
- 記載内容は作成時点の情報であり、攻撃手口は日々進化しています
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
