無料会員登録
最近のサイバー攻撃では、VPNやRDPの脆弱性が最も頻繁に悪用され、特に身代金を要求する悪質なマルウェア「ランサムウェア」の主要な感染経路となっています。
そのため企業や組織がこれらのリモートアクセス技術を使用する際は、適切なセキュリティ対策や、インシデント時の早急な対応が不可欠です。
そこで、この記事では、VPNやRDPの脆弱性に関する具体的なリスクや万が一感染が発生した場合の対応について詳しく解説します。
目次
ランサムウェア感染経路はVPN/RDPが最多
VPN(Virtual Private Network)とは、オンライン経由で社内のネットワークに接続する技術であり、RDP(Remote Desktop Protocol)は、遠隔地にある端末にアクセスして操作するためのプロトコルです。いずれもテレワークなどで社内ネットワークにアクセスするために使用されます。
しかし、適切なセキュリティ対策が施されていない場合、攻撃者に簡単に侵入される可能性があります。実際、ランサムウェア感染経路の最多はVPNとRDPとなっています(内閣府の調査では8割を占める)。
出典NISC
VPN/RDP機器の脆弱性を狙ったランサムウェア感染の手口
VPN/RDP機器の脆弱性を狙ったランサムウェア感染の手口としては、次のようなものがあります。
- 未修正のセキュリティ脆弱性の悪用
- 辞書攻撃や総当たり攻撃によるパスワードのクラッキング
- フィッシング攻撃による認証情報の入手
未修正のセキュリティ脆弱性の悪用
VPN/RDP装置では時折、セキュリティ上の脆弱性が見つかります。
攻撃者は、こうした脆弱性を悪用してシステムに侵入し、ランサムウェアのインストールを試みたりすることがあります。そのため、VPN/RDP装置のメーカーから提供されるセキュリティパッチやアップデートを定期的に適用することが重要となります。
たとえばVPN/RDP装置を安全に使用するために、以下の対策を講じることが重要です。
- 最新のセキュリティパッチを適用する
- VPN/RDP装置の設定を適切におこなう
辞書攻撃や総当たり攻撃によるパスワードのクラッキング
VPN/RDPへのアクセスには、ユーザー名とパスワードの認証が使用されます。しかし、弱いパスワードや一般的なユーザー名が使用されている場合、攻撃者は辞書攻撃や総当たり攻撃と呼ばれる手法を使ってパスワードを解読しようとします。辞書攻撃は、辞書に登録されている単語やフレーズを試行していく方法です。総当たり攻撃は、あらゆる文字列を試行していく方法です。
いずれにせよ、パスワードが弱ければ簡単に解読されてしまいます。パスワードを解読されないようにするためには、長くて複雑なパスワードを設定することが大切です。
フィッシング攻撃による認証情報の入手
攻撃者は、フィッシング攻撃と呼ばれる手法を使ってVPN/RDPのユーザーから認証情報を詐取することがあります。たとえばこれはフィッシングメールや偽のログインページを使用し、ユーザーに偽の情報を入力させることで、攻撃者はユーザーの認証情報を入手し、VPN/RDP装置に不正アクセスを行うという手口です。
VPN/RDP装置がランサムウェアに狙われる理由
VPN/RDPがランサムウェアに悪用されやすい理由は以下の通りです。
- 攻撃者が認証を突破すれば、外部から内部ネットワークに侵入できるため
- セキュリティ対策の不備が突かれやすいため
攻撃者が認証を突破すれば、外部から内部ネットワークに侵入できるため
VPNやRDPへのアクセスには、認証が必要ですが、認証を突破さえすれば、外部から内部ネットワークに侵入できるため、悪用されやすいとされています。
たとえば攻撃者は、辞書攻撃や総当たり攻撃など、さまざまな手法を用いて認証情報を突破しようとします。もし弱いパスワードを使用していたり、認証情報が漏えいしたりする場合、攻撃者による認証の突破が容易になります。
セキュリティ対策の不備が突かれやすいため
VPNやRDPのサーバーやクライアント側のセキュリティ対策が不十分な場合、攻撃者はそれを悪用することができます。これには未修正のセキュリティパッチ、脆弱なデフォルト設定などが該当し、これらが悪用されると攻撃者が侵入するための経路として使われる可能性があります。
ランサムウェア感染時、バックアップからの復旧だけでは不十分
ランサムウェア被害を受けた企業は、バックアップを用いて応急処置を行っても、データ漏えいなどの可能性を考慮すれば不十分です。
改正個人情報保護法では、漏えいした情報の種類、件数、原因などについて、報告・通知は速やかに行う必要があります。仮にランサムウェア感染時、適切な調査を行わないと法令違反となるリスクがあります(たとえば措置命令に違反すると、6か月以下の懲役または30万円以下の罰金となる恐れがあります)。
また法令違反が明るみに出ると、社会的信用の失墜はもちえろん、損害賠償請求などの金銭的被害が発生する可能性があります。
もし感染被害が発覚した場合、迅速かつ正確な情報の収集が不可欠です。この場合、フォレンジック調査の専門家に相談することが有効です。
フォレンジック調査
フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。
専門業者に相談することで、次のメリットがあります。
- 専門的な知識と経験により、効率的に調査を行うことができます。
- 法的にも問題のない方法で調査を行うことができます。
- 調査の結果を証拠として使用することができます。
このように専門業者は適切な技術と手法を用いて問題解決を行うことができますが、調査・解析には高度な技術が必要であり、信頼できる業者も限られます。
そこで信頼できる専門家や業者を選ぶ際には、以下のポイントに注意することが重要です。
信頼できるランサムウェア調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- スピード対応している
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめの業者が、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
✔警視庁への捜査協力を含む、累計24,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧技術を保有(※)
(※)データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと。第三者機関による、データ復旧サービスでの売上の調査結果に基づく(算出期間:2007年~2020年)
デジタルデータフォレンジックは、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い調査会社です。累計2.4万件以上の相談実績を持ち、大手企業や警察からの捜査依頼も多数解決しているため、実績・経験は申し分ないスマホのハッキング調査対応業者です。
調査・解析専門のエンジニアとは別に、相談窓口として調査専門アドバイザーも在籍しており、年中無休で対応しているため、初めて調査を依頼する場合でも安心して相談することができます。なお、法人/個人を問わず対応しており、見積まで無料のため費用面でも安心といえます。
ランサムウェア感染時、身代金を支払うリスク
ランサムウェアによって身代金を支払うことには下記のリスクがあります。
- 一度支払いを行うと攻撃者から繰り返し攻撃される
- 非合法活動の加担が疑われる
- 支払いを行ったことが公になると、顧客やパートナーからの信頼を失う可能性がある
一度支払いを行うと攻撃者から繰り返し攻撃される
攻撃者に一度身代金を支払うと、再攻撃が繰り返される可能性があります。なぜなら、支払いをすることが分かれば、身代金を支払うことに同意したとみなされ、攻撃者にとって新たな収益源とみなされるからです。もし繰り返し身代金を要求されると大変な負担となりかねません。
非合法活動の加担が疑われる
身代金を支払うことは、攻撃者の非合法活動に関わっていると疑われ、社会的な信用を失うリスクがあります。適切に問題を解決するためには、身代金を支払わずに、法執行機関やサイバーセキュリティ専門家の協力を求めることが重要です。
支払いを行ったことが公になると、顧客やパートナーからの信頼を失う可能性がある
もしも身代金を支払ったことが公になれば、法令順守への取り組みを疑われることにつながります。あるいは、反社会的な組織に資金源を提供したとみなされる可能性があり、顧客やパートナーからの信頼を失う場合もあります。またサイバー犯罪者の要求に応じることは、さらなる被害や脅威を招く可能性があります。
したがって、ランサムウェア感染時は法的な助言を得ることや、サイバーセキュリティの専門家と協力して対応をおこなうことが重要です。
ランサムウェアに感染したと疑われる場合の対処方法
ランサムウェアに感染したと疑われる場合、以下の対処方法を取ることが重要です。
- 社内の端末をネットワークから遮断する
- 代替のアクセス手段を利用する
- データのバックアップが残っていないかを確認する
社内の端末をネットワークから遮断する
ランサムウェアに感染している可能性がある場合、まずは社内の端末をすべてネットワークから遮断することが重要です。これにより、感染したコンピュータからランサムウェアのファイルが他のシステムに広がるのを防ぐことができます。ネットワークから遮断した後は、サイバーセキュリティの専門家に連絡し、適切な対応方法を相談しましょう。
代替のアクセス手段を利用する
ネットワークから切断した後も、業務を続けるためには代替のアクセス手段を利用することが重要です。
たとえば仮想デスクトップ環境を使用することで、セキュリティを確保しながら業務を継続できます。
ただし、感染したコンピュータのデータを移動させないように注意しましょう。
データのバックアップが残っていないかを確認する
ランサムウェアに感染した場合、データのバックアップを取っているかを確認しましょう。
データのバックアップが残っている場合、ロックされたデータを復元することが可能です。
ただ、バックアップがない場合やバックアップが不完全な場合は、サイバーセキュリティの専門家に対応を依頼することを検討しておきましょう。
ランサムウェア感染時、専門家に調査を依頼する
ランサムウェア感染時は、単にデータをバックアップから復元するだけでは不十分です。
特に個人情報取扱事業者は、適切な調査を行うことがマストとなります。
その理由は次のとおりです。
- 感染によって個人情報がダークウェブで売買されたり、それにより情報漏えいにつながる可能性がある
- 適切な調査を行わないと、法令違反につながる可能性がある
- 仮に法令違反が明らかになった場合、社会的な信用失墜はもちろん、損害賠償請求などの金銭的損害が生じるリスクがある
- 感染経路や情報漏えいの有無を特定しなければ、再度攻撃が繰り返される恐れもある
この際、調査を行うことで、マルウェアの勝手口、バックドアが仕掛けられているかなどを確認でき、被害範囲を正確に把握することで再発を未然に防ぐことができます。ただし、個人での調査には限界があるため、確実な調査を行うためには、サイバーセキュリティの専門家に相談することが最善の対処法です。
サイバーセキュリティの専門家は、ランサムウェアの専門知識と経験を持っているため、迅速かつ的確に原因を調査し、再発を防ぐための対策まで講じることができます。
しかし、ランサムウェアの調査を行いたい場合には、どのような基準で業者を選べばいいのでしょうか?
おすすめのランサムウェア調査業者
ランサムウェア調査はまだまだ一般に馴染みが薄く、会社選びの際もどのような判断基準で選定すればよいか分からない方も多いと思います。
そこで、対応領域や費用・実績などを踏まえ、50社以上の中から見つけたおすすめのランサムウェア調査会社・調査会社を紹介します。
上記のポイントから厳選したおすすめの調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
デジタルデータフォレンジックは、国内売上No.1のデータ復旧業者が提供しているフォレンジックサービスです。累計3.2万件以上の相談実績を持ち、サイバー攻撃被害や社内不正の調査経験が豊富な調査会社です。
調査・解析専門のエンジニアとは別に、相談窓口としてフォレンジック調査専門アドバイザーが在籍しています。
多種多様な業種の調査実績があり、年中無休でスピーディーに対応してもらえるため、初めて調査を依頼する場合でも安心して相談することができます。
また、警視庁からの捜査依頼実績やメディアでの紹介実績も多数あることから実績面でも信頼がおけます。法人/個人問わず対応しており、見積まで無料のため費用面も安心です。法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い調査会社です。
| 費用 | ★相談・見積り無料 まずはご相談をおすすめします |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、ハッキング・不正アクセス調査、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✔官公庁法人・捜査機関への協力を含む、累計39,000件の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービスを保有する企業が調査(※)(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年) |
VPN・RDP機器の脆弱性を狙ったランサムウェア感染を防ぐ対策
VPNやRDP機器の脆弱性を狙ったランサムウェア感染を防ぐためには、以下の対策を実施することが重要です。
- 最新のセキュリティパッチを適用する。
- 機器のパスワードを強固なものにする。
- アクセス制御を厳しくする。
- ログ監視を実施する
最新のセキュリティパッチを適用する
VPNやRDP機器は、定期的に提供されるセキュリティパッチを適用することが必要です。
セキュリティパッチは、システムの脆弱性を修正し、攻撃者からの侵入を防ぐ役割があります。最新のパッチを適用することで、機器のセキュリティを強化することができます。
機器のパスワードを強固なものにする
VPNやRDP機器のパスワードは、推測されにくく、他の人にはわからないような強固なものに設定する必要があります。
パスワードには英数字の組み合わせや特殊文字を含めることで、簡単に解読されないようにします。
また、同じパスワードを複数のアカウントで使用しないようにすることも重要です。
アクセス制御を厳しくする
VPNやRDP機器には、不正なアクセスを防ぐためのアクセス制御を厳しく設定する必要があります。
例えば、必要なユーザーのみがアクセスできるように制限したり、不正なアクセスを検知した場合には自動的にアクセスをブロックするなどの対策を取ります。
これによって、攻撃者の侵入を防ぐことができます。
VPNやRDP機器のログ監視を実施する
VPNやRDP機器のログ監視を行うことで、不正なアクセスや異常な活動を早期に検知することができます。
ログはシステムの活動やアクセス履歴などを記録しており、これらを監視することで異常なアクティビティがある場合には迅速に対応できます。
まとめ
今回はRDP/VPN経由で感染するランサムウェアの手口や対処方法を紹介しました。
ランサムウェアによるサイバー攻撃が増加している現在、VPNやRDPのセキュリティ対策が重要です。
ランサムウェア感染の可能性がある場合には、まず専門業者に相談し、感染経路や情報漏えいの有無など事実調査を行うようにしましょう。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
