zscalerは1月7日(米国時間)、「Remote Access VPNs Have Ransomware on Their Hands|blog」において、VPNがサイバー攻撃の標的になっており、VPNを経由してネットワーク内部へマルウェア感染などが行われていると指摘した。パッチの適用されていないVPNサーバが攻撃の入り口になっていると説明しており、注意を呼びかけている。

zscalerは「どこからでもリモートアクセスができるVPNは、導入された30年前は先見の明のある革新的なものだった」と説明。当時は、ほとんどのアプリがデータセンターで実行されており、複数のネットワークアプライアンスでVPNアクセスを制御でき、保護機能も現実的なものだったとしている。

  • Remote Access VPNs Have Ransomware on Their Hands|blog

    Remote Access VPNs Have Ransomware on Their Hands|blog

しかし現在、サイバー攻撃は次の手順で実施されており、パッチの当てられていないVPNサーバが攻撃の入り口として悪用されているという。VPNを悪用した攻撃の手順は次のとおり。

  1. インターネットをスキャンしてパッチが適用されていないリモートアクセスVPNサーバを調査
  2. 脆弱性を突いて内部ネットワークへ侵入
  3. ログやキャッシュなどからアカウントデータを取得
  4. ドメイン管理者のアカウント情報を取得
  5. ネットワークを横方向へ移動
  6. ランサムウェアをネットワークシステムへ拡散
  7. ランサムウェア攻撃などを実施

こうした攻撃が発生する原因として、記事では主に次の点を説明している。

  • VPNサーバにパッチが当てられていないか、または「パッチを当てるのが遅い」「一度運用が始まってしまった」VPNサーバはパッチを適用するタイミングを見つけることすら困難なことがある
  • 従業員に対してネットワーク経由での業務を許可している。リモート業務などを許可するということは、インターネット経由でのスキャン対象になることを意味している。

そして、実際に発生するリスクとして、次のような内容を取り上げている。

  • 一度でも内部ネットワークへの侵入を許してしまうと、横方向にマルウェアの拡散が行われやすい。その危険性は指数関数的な規模で起こってしまう。さらに、多要素認証やエンドポイント・セキュリティ機能などを停止させられる危険性がある
  • 消費者はサービスを提供する企業が個人情報を適切に扱っていることを期待している。ランサムウェアに感染したといったニュースが発表されたら、ブランドイメージに悪影響を及ぼす

内部ネットワークへ侵入されると危険性が指数関数的に増大することは、毎日のように発生しているセキュリティ・インシデントが示すように緊急の対応課題となっている。ゼロトラストモデルといった考え方にも注目が集まっており、今後の動向が注目される。