VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は？：セキュリティニュースアラート

Cisco TalosはVPNやSSHサービスを標的とした大規模な総当り攻撃（ブルートフォース攻撃）が増加していると報告した。攻撃は匿名化ネットワークから発信され、複数のVPNサービスが攻撃の対象となっている。

[後藤大地，有限会社オングス]

　Cisco Systemsの脅威インテリジェンスグループCisco Talosは2024年4月16日（現地時間、以下同）、VPNやSSHサービスを標的とした大規模な総当り攻撃（ブルートフォース攻撃）が増加していると報告した。

VPNを狙った大規模ブルートフォース攻撃に要注意　対象製品は？

　Cisco Talosによると、2024年3月18日以降、VPNサービスやWebアプリケーション認証、SSHサービスなどへのブルートフォース攻撃が世界的に増加している。これらの攻撃は、通信の匿名性を高めるソフトウェア「Tor」（The Onion Router）の出口ノードや他の匿名化トンネルから発信されていることが同グループの監視によって明らかにされている。

　この大規模ブルートフォース攻撃の影響を受けるサービスは以下の通りだ。

• Cisco Secure Firewall VPN
• Checkpoint VPN
• Fortinet VPN
• SonicWall VPN
• RD Web Services
• Miktrotik
• Draytek
• Ubiquiti

　トラフィックの送信元IPアドレスは、一般的にプロキシサービスに関連していると判断されている。主なプロキシサービスは以下の通りだ。

• Tor
• VPN Gate
• IPIDEA Proxy
• BigMama Proxy
• Space Proxies
• Nexus Proxy
• Proxy Rack

　このブルートフォース攻撃では、一般的なユーザー名や特定の組織の有効なユーザー名が利用されているという。Cisco Talosによると、これらの攻撃は無差別であり、特定の地域や業界を標的にしているわけではない。攻撃が成功すると不正なネットワークアクセスやアカウントのロックアウト、またはサービス運用妨害（DoS）が発生する可能性がある。

　Cisco Talosは「攻撃はさまざまなVPNサービスを標的としているため、影響を受けるサービスによって緩和策は異なる」と説明している。同グループは、攻撃者のIPアドレスやブルートフォース攻撃で使用されたユーザー名およびパスワードなど、このキャンペーンに関するセキュリティ侵害インジケーター（IoC）の完全なリストを「GitHub」で共有している。

　攻撃に関連するトラフィックは増加傾向にあり、今後さらに増える可能性がある。脅威アクターによるさらなるプロキシサービスの悪用が予想されており、上記リスト以外にもトラフィックの送信元IPアドレスは変化する可能性があるため注意が呼びかけられている。