はじめに
第6回では、現代のランサムウェア攻撃において「玄関口」として最も悪用されているVPN機器の脆弱性 と RDP(リモートデスクトップ) のリスクについて解説します。
テレワークの普及により、これらのゲートウェイは「利便性の象徴」から「攻撃者の主戦場」へと変貌しました。
2025年現在の統計(警察庁等)では、ランサムウェアの感染経路の 約半数以上がVPN機器 経由であり、これにRDPを加えると 全体の8割以上 を占めています。なぜこれほどまでに狙われるのか、その技術的背景を解剖します。
⚠️ 1. VPN機器:信頼の拠点に潜む致命的な脆弱性
VPN(Virtual Private Network)は、社外から社内ネットワークへ安全に接続するための技術ですが、その「入り口」となるVPNアプライアンス自体に脆弱性があると、攻撃者にフルアクセスを許す 「最悪の踏み台」 となります。
近年の主なVPN脆弱性トレンド(CVE例)
直近数年で、大手ベンダーの機器において深刻度(CVSS)が「緊急(9.0以上)」の脆弱性が相次いで発見されています。
- Ivanti Connect Secure (CVE-2023-46805 / 2024-21887): 認証バイパスとコマンドインジェクションの組み合わせ。
- Palo Alto GlobalProtect (CVE-2024-3400): 認証なしでのリモートコード実行(RCE)。
- Fortinet FortiGate / Citrix NetScaler: 定期的にゼロデイ脆弱性が発見され、標的となっています。
攻撃のフロー
- 偵察 (Reconnaissance): Shodanなどのツールで、脆弱なバージョンが動いているVPN機器のIPを特定。
- エクスプロイト実行: 認証を通らずにデバイスの管理者権限を奪取、または「セッションクッキー」を盗み出す。
- 内部侵入: VPN装置を中継地点として、社内ネットワークへビーコン(通信の足場)を立てる。
🚪 2. RDP(リモートデスクトップ):開け放たれた勝手口
Windows標準のリモート接続機能であるRDP (Remote Desktop Protocol) は、設定ミスによって攻撃者に「レッドカーペット」を敷いてしまうケースが後を絶ちません。
RDPが危険視される理由
- デフォルトポート(3389)の露出: 外部から直接RDPポートにアクセスできる設定は、世界中の攻撃者から常にブルートフォース(総当たり攻撃)を受けています。
-
ブルートフォースと辞書攻撃: IDが
Administratorのまま、パスワードが脆弱な場合、数分で突破される可能性があります。 - 認証情報の売買: ダークウェブでは、既に突破済みのRDPアクセス権が「初期アクセスブローカー(IAB)」によって数百ドルで販売されています。
🚨 2025年の注意点:RDPの「横展開(Lateral Movement)」
侵入経路としてだけでなく、**一度侵入した後の「内部移動」**にRDPが悪用されるケースが激増しています。AD管理者の端末を乗っ取り、そこから他のサーバーへ正規のRDP接続で移動するため、既存のウイルス対策ソフトでは検知が極めて困難です。
🛠️ 3. エンジニアが実施すべき「鉄壁のゲートウェイ」対策
これら「王道の経路」を塞ぐには、利便性よりもセキュリティを優先した構成管理が求められます。
| 対象 | 対策アクション | 効果 |
|---|---|---|
| VPN | 多要素認証 (MFA) の強制 | パスワードやセッションが盗まれても侵入を防ぐ |
| VPN | パッチ適用の迅速化 | 脆弱性公開から24時間以内の適用を目指す |
| RDP | インターネットへの直接公開禁止 | 必ずVPN経由、またはRDゲートウェイ越しにする |
| 共通 | アタックサーフェス管理 (ASM) | 自社が意図せず公開しているポートがないか継続監視 |
| 共通 | 接続元IP制限 | 許可された拠点や特定の国以外からのアクセスを遮断 |
📝 まとめ:境界防御の「賞味期限」
かつては「VPNさえ通せば安全」と考えられてきましたが、現在は 「VPNそのものが狙われる」 時代です。
- VPN機器の脆弱性管理(技術的対策)
- 多要素認証の徹底(認証の強化)
この2つを徹底しない限り、ランサムウェアの侵入を止めることはできません。