物流停止｢社会インフラ｣狙うサイバー攻撃の衝撃 名古屋港のランサムウェア被害から学ぶこと

名古屋港の事例でも、まだ断定に至っていないとはしながらも、脆弱なVPN経由での侵入であった可能性が高いことが国土交通省の中間まとめなどで指摘されている。

VPNは組織のネットワークに外部から安全にアクセスするための仕組みだ。しかし、海外では2019年前後に「Fortinet」「Pulse Secure（現Ivanti）」「Citrix」「Palo Alto」「F5」などの主要なVPN製品で攻撃に悪用可能な脆弱性が確認された。

さらに、その脆弱性を悪用する攻撃手法が確立し、VPN経由の侵入が急激に常套手段化した。VPNの脆弱性には、マルウェアの実行に悪用可能な脆弱性と、認証情報の窃取に悪用可能な脆弱性の2種がある。

このため、VPN経由の侵入では脆弱性の悪用による直接侵入と、認証突破による不正アクセスが主な攻撃手法となっている。コロニアルパイプラインの事例では、何らかの方法で流出した社員の認証情報が使用され不正アクセスによる侵入を受けた。

名古屋港の事例では、VPNに任意コード実行（ACE）が可能となる脆弱性が存在していたことが指摘されている。

攻撃対象の領域が拡大している

なぜ被害組織のネットワークに狙われやすい弱点が存在していたのか。国内におけるランサムウェア被害事例では、年々アタックサーフェス（攻撃対象領域）が拡大していることが明らかに見てとれる。

2021年のつるぎ町立半田病院の事例では、侵入の原因としてVPNの脆弱性が指摘された。2022年3月の小島プレス、10月の大阪急性期・総合医療センターの事例では、信頼をおいているほかの組織経由での侵入、つまり「サプライチェーンの弱点の悪用」が被害原因となっている。

この2つの事例における直接の侵入経路として、小島プレスは子会社、大阪急性期・総合医療センターは業務委託先経由の侵入であったこと、その侵入原因は脆弱なVPNであったことも公表されている。

2023年の名古屋港事例は、データセンターで運用されているシステムがVPN経由で侵害されたものと定義づけることができる。データセンター上のシステムがランサムウェア被害にあった事例は、2023年6月に社労士向けクラウドサービス「社労夢」でも公表されている（侵入原因は未公表）。

このように「VPN経由の侵入」「サプライチェーンの弱点」「データセンター」へとアタックサーフェスが拡大していることがわかる。

サイバー攻撃で社会が停止、個々の組織が認識すべきこと

高度化する昨今のサイバー脅威に備えるために、個々の組織が認識すべきことは、何か。

昨今の被害事例から、ほかの組織経由での侵入・被害発生や、自分たちの組織がほかの組織にとっての侵入口となりえることが示されている。つまり自組織だけの対策ではなく、サプライチェーン全体、ひいては日本全体の中で自組織の存在を認識し、対策を施していくべきだ。

具体的には「ゼロトラスト」、何も信頼しないことを前提としたセキュリティ対策の実装、守るべき資産とそのリスクを把握するための「アタックサーフェスリスクマネジメント（ASRM）」と、ネットワーク内の挙動を多層で可視化し対応するための「XDR（Extended Detection and Response）」の取り組みが重要になるだろう。

岡本 勝之：トレンドマイクロ セキュリティエバンジェリスト