主要VPN製品狙うブルートフォース攻撃が世界中で増加、注意を

画像提供：マイナビニュース

Cisco Talos Intelligence Groupは4月16日(米国時間)、「Large-scale brute-force activity targeting VPNs, SSH services with commonly used login credentials」において、VPN(Virtual Private Network)、Webアプリケーション認証インタフェース、SSH(Secure SHell)などを標的とする世界的なブルートフォース攻撃の増加を検知したとして注意を喚起した。

○3月18日よりブルートフォース攻撃が増加

Cisco Talosによると、この攻撃は少なくとも2024年3月18日(米国時間)から積極的に行われており、現在も増加傾向にあるとされる。主な標的は次の製品およびサービスとされる。

Cisco Secure Firewall VPN
Checkpoint VPN
Fortinet VPN
SonicWall VPN
RD Web Services
Miktrotik
Draytek
Ubiquiti

この攻撃では、一般的なユーザー名と特定の組織の有効なユーザー名を使用することが確認されている。また、特定の地域や業界を標的としたものではなく、世界中の組織を対象に無差別に攻撃が実施されているとみられている。攻撃元のIPアドレスは次に示すVPN(Virtual Private Network)が多いとされるが、今後は他のサービスを悪用する可能性もあると指摘されている。

Tor (The Onion Router)
VPN Gate
IPIDEA Proxy
BigMama Proxy
Space Proxies
Nexus Proxy
Proxy Rack

○対策

Cisco Talosはこのような攻撃からシステムを保護するため、パスワードスプレー攻撃に対抗するベストプラクティス「Recommendations Against Password Spray Attacks Impacting Remote Access VPN Services - Cisco」を参考に必要な対策の実施を推奨している。

また、今回の攻撃で使用されたユーザー名とパスワードの一覧を含めたセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「IOCs/2024/04 at main · Cisco-Talos/IOCs · GitHub」にて公開しており、必要に応じて活用することが望まれている。
（後藤大地）