セキュリティの
学び場

今回の解説ニュース

VPN機能の脆弱性が原因で、ランサムウェア攻撃の被害を受けたということです。ランサムウェア攻撃に利用されるVPN機能の脆弱性と、不正アクセスが発覚した際の初動対応について説明します。

今回のインシデントは、サーバのファイル暗号化等が行われたというものです。原因として、同社グループ内のVPN機能の脆弱性を悪用して同社システムに不正侵入した、ランサムウェア攻撃が挙げられています。

対策として、不正アクセスの判明直後に、社内サーバをネットワークから遮断し、不審ファイルの有無を確認するとともにすべてのサーバやパソコンに対し最新ウイルス対策ソフトによるフルスキャンを実施しています。また同社では、サーバやパソコンに対しEDRを導入し、不正な挙動等の監視を開始しています。再発防止策として、今後は情報システムに関する監視体制や認証方法の強化も含めたサイバーセキュリティの強化に同社グループ全体で取り組むということです。

ランサムウェア攻撃に利用されるVPN機能の脆弱性

VPN機能の脆弱性として、主に古いバージョンや設定ミスによって発生することが考えられます。

VPN機器が古いバージョンのままであった場合、既知の脆弱性が修正されていないため、サイバー攻撃に利用されるリスクが高まります。例えば、不正アクセスやリモートコードを実行されたり、認証をバイパスされてシステムに侵入されたりするVPN機器の脆弱性が過去に複数発見されています。もし、VPN機器が古いバージョンのままだと、これらの脆弱性がサイバー攻撃に悪用される危険性があります。

また、VPNの設定が不適切である場合、外部からの不正アクセスを許してしまう可能性があります。具体的には、VPN機器の管理画面へ外部からのアクセスを許可している場合に、簡単に推測できるパスワードを使用していたり、デフォルトの管理者パスワードが変更されていなかったりすると、攻撃者がVPN機器の設定を変更したり、不正な設定を追加したりする可能性があります。

VPNの脆弱性は、サイバー攻撃の標的となる可能性を高める重要な問題となりますので、直ちに修正することが求められます。

不正アクセスが発覚した際の初動対応

VPN機器の不正アクセスが確認された際の初動として、VPN接続の切断やパスワード変更をした上で、影響範囲を特定することが求められます。

VPNへの不正アクセスが発覚した際の初動対応は、被害拡大を防ぎ、状況を迅速に把握するためには極めて重要です。まず、VPN機器の不正アクセスが発覚したら、直ちに不正アクセスが発生しているVPN接続を切断しましょう。VPN接続の切断が難しい場合は、VPN機器をシャットダウンをすることも検討してください。そして、悪用されたVPNアカウントのパスワードを変更し、他のアカウントやシステムのパスワードも変更を検討してください。

その後、影響範囲を特定するために、いつ、どこから、どのようなアクセスが行われたのか、詳細なアクセスログを確認し、不正アクセスの痕跡を特定します。さらに、他のシステムへ感染が拡大した可能性を調査し、感染が疑われる場合はその端末も隔離するようにしましょう。