VPNを狙うランサムウェア攻撃が増加 調査から過去1年の傾向を探る

ランサムウェア攻撃の侵入経路は多岐にわたる。メールやWebブラウザ、RDPなどが一般的な攻撃対象だが、近ごろは特にVPNが狙われやすい。

[David Jones，Cybersecurity Dive]

　サイバーリスクに関連する保険サービスを提供するAt-Bayが2025年4月10日に発表したレポートによると（注1）、2024年に発生したランサムウェア攻撃の最初の侵入経路のうち、最も多かったのはリモートアクセスツールだったという。

VPNを狙うランサム攻撃が増加　調査から過去1年の傾向を探る

　ではリモートアクセスツールのうち、VPNを狙う比率はどの程度なのだろうか。

　At-Bayはランサムウェア攻撃を間接的なものと直接的なものに分けてまとめている。

　間接的なランサムウェア被害とは、サードパーティーベンダーやビジネスパートナーへの攻撃から始まり、その影響が下流の顧客やパートナーに及び、データ侵害や業務停止を引き起こすケースを指す。

　At-Bayによると、間接的なランサムウェア被害に関連する請求は増加し続けており、2024年には43％増加した。レポートでは、2023年に発生したマネージドファイル転送ソフト「MOVEit」に対する侵害や（注2）、2024年に発生した自動車販売システムを提供するCDK Globalへの攻撃がその代表例として挙げられた（注3）。

　At-Bayによると、2022年と2023年に減少していたランサムウェア被害の申請件数は、2021年に記録された過去最高の水準に再び戻ったという。

VPNに攻撃が集中

　このレポートはよく知られたセキュリティツールの一部が、企業に深刻な影響を与える攻撃の手段として悪用されている実態を示した。

　それを端的に示しているのが2024年に発生したランサムウェア攻撃における最初の侵入経路だ。リモートアクセスツールは全体として侵入経路の80％を占め、中でもVPNは、侵入経路全体の66％を占めていたからだ。

At-Bayのレポートは攻撃経路について何と言っているのか

　At-Bayのレポートでは、企業が直接ランサムウェア攻撃を受ける場合の経路についてまとめられている。それによれば、2024年にはVPN、RDP、WebサーバやAPIなどインターネットに公開されているシステム（PES： Publicly Exposed System）、メール、（盗まれた）認証情報、Webブラウザの順に多い。

	2023年	2024年
VPN	41％	66％
RDP	22％	14％
PES	12％	10％
メール	19％	6％
認証情報	3％	2％
Webブラウザ	3％	2％

　2023年と2024年の経路を比較すると、RDPやメールが減少し、VPNに攻撃が集中した様子が分かる（キーマンズネット編集部）

　VPNなどのリモートアクセスツールは、本来、従業員が遠隔地から企業のネットワークに安全にアクセスするために使用されるものだ。しかし、これらのツールはしばしば悪用され、攻撃者によるデータの持ち出しやその他の悪質な活動に使われている（注4）。

　At-Bayで顧客担当のCISO（最高情報セキュリティ責任者）を務めるアダム・タイラ氏は次のように述べた。

　「リモートアクセスツールは一般的に企業のネットワークへの玄関口だ。通常はパブリックインターネットから見える状態にあるため、攻撃者の注目を集めやすい」

　同レポートは年間売上高が2500万ドルから1億ドルの中堅企業による直接的なランサムウェア被害の申請が急増していることも指摘した。

　同レポートはAt-Bayにおける2021年から2024年末までの保険請求データに基づいて作成された。

出典：Remote access tools most frequently targeted as ransomware entry points（Cybersecurity Dive）
注1：The 2025 InsurSec Report: All Claims Edition（At-Bay）
注2：Progress Software’s MOVEit meltdown: uncovering the fallout（Cybersecurity Dive）
注3：CDK cyberattack stalls industry as car dealers disclose widespread impacts（Cybersecurity Dive）
注4：Network security tool defects are endemic, eroding enterprise defense（Cybersecurity Dive）