ランサムウェアが侵入に使うあなたの会社の「このツール」

ランサムウェア攻撃は企業にとって非常に有害だ。サイバーセキュリティ保険を扱う企業の分析によって、企業が利用しているあるツールが侵入口として危険だと分かった。

[Matt Kapko，Cybersecurity Dive]

　ランサムウェア攻撃の発端は何だろうか。フィッシングやIDの漏えいなどさまざまな手段がある。サイバーセキュリティ保険を扱う企業が調査したところ、それらよりも危ない侵入ポイントが見つかった。

あなたの企業も利用しているこのツールが危ない

　サイバーセキュリティ保険を扱うAt-Bayが2024年5月15日に発表した報告書によると、ランサムウェア攻撃の主要な侵入ポイントが見つかった。どのような侵入ポイントだろうか。

　サイバー攻撃者が狙う侵入ポイントには流行がある。2023年には主にリモートデスクトッププロトコル（RDP）を狙っていたが、近ごろは「セルフマネージドVPN」に標的が変わった。At-Bayによると、リモートアクセスが最初の侵入経路となったランサムウェア攻撃のうち、セルフマネージドVPNが約63％を占めた（注1）。

　At-Bayのロテム・イラム氏（創設者兼CEO）は、2024年5月5日週にサンフランシスコでRSAが開催したカンファレンスのサイドイベント「Axios」で次のように述べた。

　「攻撃者には傾向がある。城壁に囲まれた都市に侵入するなら、城壁自体よりも弱い城門を狙う」

　ネットワークデバイスは経済的な動機に基づく攻撃者や国家に関連する攻撃者が一般に狙う標的だ。Barracuda Networks（注2）やCisco Systems、Citrix Systems（注3）、Fortinet、Ivanti（注4）、Palo Alto Networks（注5）などが販売するデバイスの脆弱（ぜいじゃく）性が、2023年に広く悪用された。

　Ivantiのゼロデイ脆弱性は、Mitreとサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）への侵入に関連していた（注6、注7）。BoeingとComcastは（注8、注9）、CitrixBleedと呼ばれるCitrix Systems製品の脆弱性を悪用した攻撃によって影響を受けた。

セルフマネージドVPNが危ない

　At-Bayの調査によると、クラウド管理型のVPNを使用している場合や、VPNを全く使用しない場合よりも、セルフマネージドVPNを使用している場合にランサムウェア攻撃での危険性が増すという。

　報告書により、Cisco SystemsとCitrix SystemsのセルフマネージドVPNを使用している組織は、2023年に直接攻撃の被害に遭う可能性が11倍も高かったことが明らかになった。セルフマネージド型のFortinet VPNは、クラウド型のVPNよりもランサムウェア攻撃につながる可能性が5倍高かった。

　イラム氏は、RSAのカンファレンスでこれらの調査を確認しながら、次のように述べた。

　「今日、テクノロジーは基本的に自己責任で使用するものだ。セキュリティの複雑さは無限とも言えるが、結局のところ、大半の攻撃は予測可能だ。攻撃者はリモートアクセスビジネスに携わる全ての人を標的にしており、必ずしも脆弱性を悪用して侵入する必要はない。彼らは盗んだ認証情報を使って正面玄関から入ってくることもある」（イラム氏）

　At-Bayの報告書は、顧客から受け取った請求情報と保険企業の研究者が分析した請求データに基づいている。イラム氏によると、同社は現在、月に約200件の請求を受け付けているという。

　「このようなリスクを完全になくすことはできないが、組織がテクノロジーの導入について二の足を踏まずに済むレベルまでリスクを下げる必要がある。私にとってはまさにこれがリスクだ。もしテクノロジーが価値よりもリスクを増大させるのであれば、それは有害なものだからだ」

出典：Remote-access tools the intrusion point to blame for most ransomware attacks（Cybersecurity Dive）
注1：The 2024 InsurSec Report: Ransomware Edition（At-Bay）
注2：Barracuda zero-day vulnerability exploited for 7 months before detection（Cybersecurity Dive）
注3：CitrixBleed worries mount as nation state, criminal groups launch exploits（Cybersecurity Dive）
注4：Ivanti pledges security overhaul after critical vulnerabilities targeted in lengthy exploit spree（Cybersecurity Dive）
注5：Palo Alto Networks quibbles over impact of exploited, compromised firewalls（Cybersecurity Dive）
注6：Mitre R&D network hit by Ivanti zero-day exploits（Cybersecurity Dive）
注7：CISA asserts no data stolen during Ivanti-linked attack on the agency（Cybersecurity Dive）
注8：Weeks after Boeing attack, ransomware group leaks allegedly stolen files（Cybersecurity Dive）
注9：Comcast’s Xfinity discloses massive data breach linked to CitrixBleed vulnerability（Cybersecurity Dive）