なぜ多機能な製品は、セキュリティ的に“ダメ”なのか

ザトコ氏は講演で、セキュリティソフトのコードベース（上図の青線）は1000万行を超えるレベルに複雑化しているのに対し、攻撃者が作り出しているマルウェアのコード（上図の赤線）は12万5000行程度と比較的少ない、シンプルな構成になっていると述べた（出典：WithSecure主催のイベント「SPHERE 23」でのザトコ氏の講演「Myths of Cyber Security」より）

　GMOサイバーセキュリティ byイエラエの阿部慎司氏が、同社の「YouTube」チャンネルでランサムウェアの実情を語る動画を公開しました。昨今の事情を含めて解説する内容に、うなずきながら拝見しました。

　特に警察庁による「令和5年におけるサイバー空間をめぐる脅威の情勢等について」の統計で出てきているように、もはやランサムウェアは中小企業の被害が多いこと、そして侵入経路はかつての電子メールやWeb経由ではなく、VPN機器やリモートデスクトップツールの脆弱（ぜいじゃく）性を悪用した侵入であることはしっかりと把握しておくべきだと思います。ぜひチェックしてみてください。

●いつまでたってもなくならないVPN機器の脆弱性　その背景にあるもの

　ここ最近で話題になったインシデントの多くが、VPN機器の脆弱性をきっかけとしていることは、皆さんもご存じのはずです。かつて大きな話題になった病院におけるインシデント群もやはりVPN機器でした。特に大阪急性期医療センターのランサムウェア被害事例はサプライチェーンを通じて、関連会社から侵入を許してしまったというものでした。自社だけでなく関連会社や関連拠点に置かれた機器も、正しく管理しなくてはならないというのが、現状のランサムウェア対策を困難にしています。

　かつてネットワークベンダーの間では「UTM」（Unified Threat Management：統合脅威管理）製品が大変なブームになりました。UTMが一段落したかと思えば、次世代UTMというものもプロモーションのキーワードとして多用されてきています。一方、UTMの導入現場では、パフォーマンスの問題からセキュリティに関連する機能をオフにし、高級なルーターとして使われたことが多かったとも聞いています。確かにブームの頃は、特に中小企業であればUTMを入れることで防御ができるとアピールするベンダーも多くいました。さて、今ではどうでしょうか。

　大きな問題は、これらのネットワーク機器に関するアップデートが進んでいなかったことにあると思っています。恐らく、ネットワーク機器は一度動き始めれば、手を加えたくないということも大きな理由のはずです。高機能なUTMであれば、それなりにアップデートが定期的に実行されていたはずですが、それが正しく適用されていないことが、現状のランサムウェア事案の根幹にあるのかもしれません。