ランサムウェア被害に遭いやすいVPNのタイプはどれか?大解説します
ランサムウェア被害に遭いやすいタイプについて整理してみます。
ランサムウェア被害の前提として、攻撃者は「初期侵入 → 足場確保 → 横展開 → 暗号化/漏洩」の流れを取ることが多く、初期侵入の足掛かり(エントリーポイント)が「弱いVPN/リモートアクセス」になっているケースが非常に多いです。
以下、なぜ「どのタイプ」が特に危険か、どんな条件・構成が"リスク高"か、をまとめます。
関連投稿:
あまりに多すぎるランサムウェア被害「VPNからの侵入」を経営者向け解説。対策はゼロトラストVPN
被害に遭いやすいタイプ(構成・運用上の特徴)
リスクが高いVPN/リモートアクセス環境には、次のような特徴があります。
1. 従来型の「フルアクセスVPN」
− 社員・拠点・社外から、社内LAN/基幹システムに比較的自由にアクセスできるVPN。
− 一度ログインできれば、社内ネットワーク内を自由に横展開できる体制。
− 脆弱性・ログ監視・制限が十分でないケース。
このタイプは、侵入後に"社内LAN丸ごと"支配されるリスクが高いため、ランサムウェアの格好のターゲットとなります。
実際、ランサムウェア対策技術専門会社Halcyonのレポートでは「VPN/RDP(Remote Desktop Protocol)経由の侵入が、ランサムウェア被害の主な初期ベクターの1つ」であるとしています。 halcyon.ai
用語:初期ベクター
攻撃者が企業ネットワークの"最初の侵入口"として使う経路・手口。
2. オンプレミス型VPN装置・古い機器・パッチ遅延あり
− VPNゲートウェイ/アプライアンスを自社で設置・運用、しかもアップデートが遅れていたり、既にサポート切れ機種を使っていたり。
− 既知の脆弱性が放置されていたり、設定ミス(認証方式が弱い、MFA無し、アクセス制限無し)だったり。
このような機器が"インターネットに触れている"と、攻撃者から「入りやすい入口」としてスキャン・攻撃対象になります。例えば「オンプレミスVPNが、リモートアクセス侵入の初期ベクターの 60%超を占める」という報告もあります。 cybersecuritydive.com
参考記事:最近のITmedia記事
リモートアクセスに「オンプレミスVPN」を使う企業は"約5~7倍"ランサムウェア被害に遭いやすい
3. リモートアクセス特権の管理が甘い/アクセス制御が曖昧
− リモートアクセス用のアカウントが古く、退職者アカウントが残っている。
− 社外・ベンダー・協力会社アクセスがVPN経由で"本社ネットワーク/重要システム"に接続可能になっている。
− 多要素認証(MFA)が未実装、または挙動が甘く、ログ監視も不十分。
これらの運用のゆるさが、攻撃者にとって"入口の鍵"を提供してしまう構図になっています。例えば「弱い認証/MFAなし/設定ミス」が多数のランサムウェア侵入に共通する要因として挙げられています。 Veeam Software
なぜ「VPN/リモートアクセス」がランサムウェア被害の入り口になりやすいか
いくつか理由があります。
-
リモートアクセス用VPNは「いつでも接続可能な入口」であり、インターネットと直結している場合が多いため、攻撃者が外部から狙いやすい。
-
VPN装置・ゲートウェイには既知の脆弱性が多数あり、攻撃者がスキャンして"入りそうな装置"を探すことが可能。例えば、既にパッチが出ている脆弱性を残している事例が多く報告されています。 (今泉注:ユーザー等に広く告知される脆弱性に関する最新情報が、犯罪集団のためにも利する形となっている。パッチを当てない企業のシステムにその脆弱性情報を活用して侵入する)Kroll+2surefirecyber.com
-
リモートアクセスで取得されたアカウントから社内に侵入されると、特権昇格・横展開が容易にできてしまう設計が多く、ランサムウェアがマルチサーバー・ネットワーク全体を暗号化・漏えいさせるステージに進みやすい。 Veeam Software+
-
多くの企業において「VPNを設定して終わり」「少人数で運用」「ログをしっかり見ていない」など運用脆弱性があります。運用監視・アカウント棚卸・パッチ適用が後回しになるという"穴"が狙われています。 (今泉注:そうしたことの根本解決には、米国で標準形が定まっているゼロトラスト・アーキテクチャしかないという現実がある。日本でいう「ゼロトラスト」は中途半端なものであることが多く、セールストーク的な「ゼロトラスト」に終わっているケースがある)Bitsight
特に注意すべき条件・タイプ(日本企業でも起こりうる)
日本企業が傾きやすい条件として、以下が挙げられます:
-
コロナ期にテレワークやベンダー/協力会社アクセスが急拡大したが、VPN設定/アクセス制御/アカウント管理が追いついていない。
-
過去に設置して"放置"されているVPN装置(ファイアウォール統合型、SSL-VPN装置など)がある。
-
多拠点・グローバル支社を持つ企業で、VPNアクセス口が複数・管理が分散しており、どこかに"鍵を掛け忘れた入口"がある。
-
リモートアクセス対象を「社内LAN丸ごと」にしており、最小権限・ネットワーク分離・監視が設計されていない。
-
端末・アクセス元が多様化(自宅PC・モバイル端末・協力会社端末)しており"きちんと管理されていない端末"がVPNから社内ネットワークに入っている。
-
パッチ管理・ログ監視・アカウント整理・MFA導入が遅れている状況。
では、どのタイプが「最も」リスク高か?
上記を踏まれば、最もリスクが高いのは「オンプレミス型の、従来型フルアクセスVPN+運用管理が十分でない企業」という構成です。
参考記事再掲:最近のITmedia記事
リモートアクセスに「オンプレミスVPN」を使う企業は"約5~7倍"ランサムウェア被害に遭いやすい
具体的には:
-
自社で設置・運用しているVPN装置(古い機器やサポート切れ機種含む)
-
社外/ベンダーアクセス経路がそのVPNを通して"社内ネットワーク丸ごと"に繋がっている
-
アカウント・アクセス管理・認証が甘く、MFAが未実装または運用になっていない
-
VPN装置が最新パッチ適用されておらず、既知脆弱性が残っている
-
ネットワーク分離(制限)・ログ監視が甘く、異常なアクセスを検知・阻止する体制がない
このような環境は、上述の報告でも「自社管理のVPNが、クラウド型管理よりも11倍もランサムウェア被害に遭いやすかった」とされています。 cybersecuritydive.com
【セミナー告知】QilinやRansomHouseの被害から完全防御:米国最新ランサムウェア対策セミナー
-経営企画室が主導するアメリカ基準のランサムウェア対策-
一般社団法人 企業研究会
【開催にあたって】
アサヒグループやアスクルが被害に遭っているランサムウェアは、犯罪集団の手口が高度化しており、多くの上場企業が潜在ターゲットになっています。従来サイバーセキュリティはCIO/情報システム部門が管掌していましたが、アサヒに見るように全社規模の営業損失になりかねないことから、対策には経営者の意思決定が不可欠になっています。
このセミナーでは経営者の意思決定を支援する経営企画室が主導するアメリカ水準のランサムウェア対策について、ChatGPT 5を活用した情報収集から現行社内システムに堅固なランサムウェア防御策を組み入れるプロジェクト詳細まで、ノウハウを伝授します。
【講師】
インフラコモンズ代表