VPNは“障壁”ではなく“開かれた扉” 進むセキュリティ製品の悪用：Cybersecurity Dive

Coalitionの報告によると、ランサムウェアを原因とするサイバー保険請求のうち6割が、VPNやファイアウォールなどの境界セキュリティデバイスの侵害に関連しているという。

[David Jones，Cybersecurity Dive]

　2025年3月11日（現地時間、以下同）に発表されたCoalition Cyber Threat Indexの報告書によると（注1）、2024年におけるランサムウェア被害の10件中6件が、仮想プライベートネットワークやファイアウォールなどの境界セキュリティデバイスの侵害に基づくものだった。10件中2件では、リモートデスクトッププロトコルが初期アクセスのために悪用された。

なぜVPNは“開かれた扉”になってしまうのか？

　約半数のケースで盗まれた認証情報が初期アクセス経路として利用され、ソフトウェアの脆弱（ぜいじゃく）性は約3割のケースで悪用されていた。

　報告書によると、サイバー保険を申請する際、企業の3分の2はインターネットに露出したWebログインパネルを少なくとも1つ保有していた。Coalitionによると、インターネットに露出したものとして、500万件以上のリモート管理ソリューションおよび数万件のログインパネルが検出されたという。

　この報告書では、攻撃中にシステムへのアクセスを得るために、ハッカーがセキュリティツールの悪用を増加させている点が強調されている。本来であれば、これらのツールは承認されたユーザーが企業環境に安全にアクセスするために設計されたものだ。しかし脅威グループはこれらのツールを悪用して情報を盗んだり、他の悪質な活動を実施したりする方法を見つけ出している。

　Coalitionの関係者によると、VPNとファイアウォールは内部ネットワークへの主要な入口として機能しているとのことだ。Coalitionの製品部門に所属し、ビジネスにおけるセキュリティ業務の責任者を務めるアロク・オジャ氏は、電子メールで次のように述べた。

　「これらのツールは企業へのリモートアクセスを提供するが、設定ミスやパッチ未適用、脆弱な認証情報で保護されている場合、セキュリティを維持するための障壁ではなく攻撃者にとっての開かれた扉となる」

　Coalitionによると、最も侵害されやすい製品はFortinetやCisco、SonicWall、Palo Alto Networksのものだという。

　Coalitionによると、2024年には4万件以上の脆弱性が公表され、2023年から38％増加した。同社は2025年には約4万5000件の脆弱性が公開されると予測しており、2024年の最初の10カ月と比較して15％の増加となる見込みだ。

　同報告書は、2024年1月1日〜10月31日までに収集されたデータに基づいて作成されている。これにはCoalitionによる請求の調査やスキャンエンジン、ハニーポット、Coalitionの脆弱性スコアリングシステム、通知キャンペーンのログに関する独自データが含まれている。

（注1）Explore the ransomware playbook and common attack tactics（Coalition）

原文へのリンク