日本企業を狙う攻撃者 VPNの脆弱性にどう対処すればいい？

VPNを狙うサイバー攻撃が増している。VPNを経由してランサムウェア攻撃を仕掛けられる場合も多い。

[Rob Wright，Cybersecurity Dive]

　VPNがサイバー攻撃の集中攻撃を受けている。警察庁が2025年3月に発表した「令和6年におけるサイバー空間をめぐる脅威の情勢等について」によれば、ランサムウェアによる被害に遭った企業や団体のうち8割以上の感染経路がVPNやリモートデスクトップ用の機器だった。

日本企業が狙われる　VPNの脆弱性

　この問題が危険視されているのは、VPNのユーザー企業の動きがあまり早くないからだ。VPNの脆弱（ぜいじゃく）性と対応策が公開されているにもかかわらず、対処していない企業がある。対処していない企業はどの程度あるのだろうか。

　事例の一つがIvantiのSSL-VPNソリューション「Ivanti Connect Secure」だ。

　サイバーセキュリティ分野で活動する非営利団体のShadowserver Foundationによれば、約2850のIPアドレスがIvanti Connect Secureの脆弱性「CVE-2025-22467」の影響を受けているという（注1、注2）。この脆弱性はアクセス権限を必要とするものの、スタックオーバーフローを利用して、リモートからのコード実行が可能になる危険なものだ。

　共通脆弱性評価システム「CVSSv3.1」のベーススコアが9.9と高く、深刻度は深刻（critical）だ。

　Ivantiは、2025年2月11日に「CVE-2025-22467」を公表して（注3）、修正パッチも提供した。同社によると、公表以前にこの脆弱性が悪用された形跡は確認されていない。

日本と米国が狙われるか

　Shadowserverの調査によると、脆弱性のあるIPアドレスが最も多い国は米国と日本で、それぞれ852件と384件だった。

VPNへの攻撃に対抗するには

　Ivantiの事例のように、VPNの脆弱性が明らかになっている場合、まず実行すべきなのはベンダーが公開するパッチを適用することだ。常に最新バージョンを保つようにする。

　パッチの適用以外にもできることは幾つもある。パスワードポリシーを強化したり、多要素認証を導入したりすることだ。VPNの管理画面がインターネットからアクセスできないように設定することも有効だ。

　脆弱性が明らかになっていない場合は、VPNからZTNA（ゼロトラストネットワークアクセス）への移行を検討しよう。コストはかさむものの、未知の脅威にもそなえることができる。もう一つの方法はネットワーク監視ツールの導入だ。NDR（Network Detection and Response）などのツールを利用してネットワーク内外の異常な活動をリアルタイムで検知し、迅速に対応できる体制を整える。これは偵察フェーズから侵入後のフェーズに向けた対策であり、VPNの脆弱性に限らず有効だ（キーマンズネット編集部）

　近年、さまざまな攻撃者がIvantiのデバイスを狙っている。2025年1月には、Connect Secureを含むIvantiの複数の製品に存在するゼロデイ脆弱性が複数の攻撃者に狙われた（注4）。Shadowserverによると、別のスタックベースのバッファオーバーフローの脆弱性「CVE-2025-0282」が悪用されて、Ivanti Connect Secureのインスタンス約380台が侵害された（注5）（注6）。

　2024年10月には、「Ivanti Cloud Service Appliance」に存在する3つのゼロデイ脆弱性を連鎖させた悪用があり（注7）、攻撃につながった。これらの脆弱性が公表される直前に、Ivantiはより安全な製品を開発するために自社の運用体制を見直すことを約束する声明を発表していた（注8）。

　「CVE-2025-22467」が実際に悪用された形跡は確認されていないようだ。Shadowserverのピオトル・キエフスキ氏（CEO）は「Cybersecurity Dive」に対して「現時点において、当社の観測範囲内でこの脆弱性の悪用は確認されていない」と述べた。

　「CVE-2025-22467」が公表されてから2週間が経過した時点で、まだ2850の脆弱なインスタンスが依然として残っている状況について、キエフスキ氏は、Ivantiの製品に関連する別の脆弱性がデバイスに残ったままになっていたケースと比較し、「悪くはない」と述べた。

　Ivantiは「CVE-2025-22467」を公表した時点で、既知の悪用事例はないと発表していた。また、Shadowserverの報告に関して、Cybersecurity Diveに声明を送った。

　「当社は2025年2月6日に『CVE-2025-22467』を公表し、修正プログラムをリリースした。現在のところ、この脆弱性が悪用された証拠は確認されていない。修正パッチとともに、以前から推奨しているベストプラクティスに沿った緩和策を提供しており、これによりこの脆弱性のリスクを大幅に軽減し、顧客が修正を適用する時間を確保できるようにした。当社の案内に従ってパッチを適用していない場合、早急に対応することを強く推奨する」（Ivantiの広報担当者）

出典：Nearly 3K Ivanti Connect Secure instances vulnerable to critical flaw（Cybersecurity Dive）
注1：CVE-2025-22467 Detail（NIST）
注2：The Shadowserver Foundation（X）
注3：February Security Advisory Ivanti Connect Secure (ICS),Ivanti Policy Secure (IPS) and Ivanti Secure Access Client (ISAC) (Multiple CVEs)（Ivanti）
注4：Ivanti customers confront new zero-day with suspected nation-state nexus（Cybersecurity Dive）
注5：Attackers lodge backdoors into Ivanti Connect Secure devices（Cybersecurity Dive）
注6：CVE-2025-0282 Detail（NIST）
注7：Trio of Ivanti CSA zero-day vulnerabilities under exploit threat（Cybersecurity Dive）
注8：October Security Update（Ivanti）

原文へのリンク