VPNはサイバー攻撃を助長しているのか？ ネットワーク機器の深刻なパラドックス：Cybersecurity Dive（1/2 ページ）

ファイアウォールやVPN、ルーターをはじめとした企業ネットワークの境界で稼働するセキュリティ機器やサービスから頻繁に脆弱性が見つかり、サイバー攻撃を助長している可能性がある。この問題にどう対処すればいいのか。

[Matt Kapko，Cybersecurity Dive]

　連邦のサイバー当局や研究者は2025年1月初旬、攻撃者が「Ivanti Connect Secure」のゼロデイ脆弱（ぜいじゃく）性を再び悪用していると警告した（注1）。

VPNがサイバー攻撃を助長している？　機器が抱える深刻な矛盾に切り込む

　この重大な脆弱性「CVE-2025-0282」は（注2）、認証不要のスタックベースのバッファーオーバーフローに関するものだ。これは、脅威グループがIvantiの同様の製品に存在する「CVE-2023-46805」と「CVE-2024-21887」という2つのゼロデイ脆弱性を悪用した約1年後に見つかった（注3）（注4）（注5）。

　同じベンダーの同じ製品で新たなソフトウェアの欠陥が発見されること自体は、それほど珍しくなければ、神経をすり減らすものでもない。しかし、それがあまりにも頻繁に起こるため、企業のIT環境はますます不安定になっている。組織が防御のために頼っているネットワーク機器やサービスに脆弱性が見つかり、それが悪用されることで、本来防ぐべき侵入をかえって助長している。

　ファイアウォールやVPN、ルーターをはじめとして、企業ネットワークの境界で稼働するセキュリティ機器やサービスは、サイバー攻撃において長年の間、メジャーな侵入経路となっている。

　過去2年間で、金銭目的の攻撃者や国家の支援を受けた攻撃者が、BarracudaやCisco（注6）（注7）、Citrix（注8）、Fortinet（注9）、Ivanti（注10）、Juniper（注11）、Palo Alto Networks（注12）、SonicWallなどが販売するネットワークエッジデバイスの脆弱性を広範囲にわたって悪用した（注13）。

　ネットワークセキュリティツールの脆弱性を狙った攻撃は、政府機関だけでなく、航空企業のBoeingや通信企業のComcastを含む世界有数の大手企業を含めて（注14）（注15）、さまざまな業界の組織を巻き込んでいる。

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）も、2024年の初めにIvanti Connect Secureのゼロデイ脆弱性を悪用した攻撃の被害を受けた。攻撃が発生したとき、同庁はリモートアクセスVPNのためにこの製品を使用していた（注16）。

　サイバーセキュリティ事業を営むCensysでセキュリティ領域の研究するヒマジャ・モザラム氏は、次のように述べた。

　「次々と発見される脆弱性に疲労を感じるのは当然だが、ネットワークデバイスにおける初期の侵入経路となるこの種の脆弱性は、悪用された後の影響が深刻であるため特に危険だ」（モザラム氏）

なぜ攻撃者たちはVPNを狙うのか？

　組織は防御を強化し、侵入を防ぐためにファイアウォールやVPNを導入する。しかし、それらのハードウェアが引き起こす意図せぬ影響は、ネットワークセキュリティ機器を活用して達成しようとする本来の目的と矛盾している。

　悪質なハッカーがエッジデバイスの脆弱性を悪用した場合、被害を受けるのはベンダーではなく、その顧客である。

　サイバーセキュリティ保険を扱うAt-Bayの調査によると、2023年に発生したランサムウェア攻撃の主要な侵入経路は（注17）、自社で管理するVPNなどのリモートアクセスツールであり、全攻撃の5件中3件を占めていた。

　ネットワークエッジデバイスを潜在的なリスクとみなさない企業は、自社のネットワークを危険にさらすことになる。強力な脆弱性管理プログラムを導入すれば攻撃のリスクを軽減できるが、悪用されているゼロデイ脆弱性や、公表されたもののベンダーが修正していない脆弱性に対して、企業が取れる防御策は限られている。

　EDR（Endpoint Detection and Response）製品の管理サービスを提供するHuntressのカイル・ハンスロヴァン氏（CEO）は「常に目の前に存在するものでない限り、人はたやすく忘れてしまう」と述べた。

　攻撃者がネットワークセキュリティ機器を格好の標的と見なす理由は複数ある。サイバーセキュリティ事業を営むBinary Defenseでセキュリティ領域を研究するジョン・ドワイヤー氏（ディレクター）は「これらの機器は、攻撃者の目的に合致する高度な特権アクセスや制御機能を提供するため狙われやすい」と指摘する。

　「私たちはネットワークの他の資産と同じ厳しさで、これらのネットワークセキュリティ機器を評価していないが、それは誤りだ。セキュリティツールにはさまざまな利点があるが、ネットワークのあらゆる資産が攻撃の入口になり得る」（ドワイヤー氏）

　調査企業であるDell’Oro Groupで企業向けセキュリティとネットワークの領域で研究をしているマウリシオ・サンチェス氏（シニアディレクター）によると、ファイアウォールの売り上げはネットワークセキュリティ市場全体の収益のほぼ半分を占めているという。

　Dell'Oro GroupとGartnerの調査によると、Palo Alto Networksはファイアウォールの市場で圧倒的なリードを維持しており、2024年の第2四半期には29％のシェアを獲得している。これに続く主要な競合企業として、FortinetおよびCisco、Check Point Software Technologiesが挙げられる。

　CISAの「既知の悪用された脆弱性カタログ」（KEV：Known Exploited Vulnerabilities Catalog）によると（注18）、2024年の1年間で、これらのベンダーのファイアウォールやVPNに存在する脆弱性が実際に攻撃者によって悪用された。