第１章 再び間接攻撃から直接攻撃へ
〜被害構造の変化とその必然性〜

サイバー攻撃、とりわけランサムウェア被害の侵入経路は、時代とともに明確に変化してきました。かつて主流であったのは、標的型メールや水飲み場型攻撃に代表される間接攻撃です。端末利用者の操作や判断を介して不正プログラムを実行させ、内部から外部へ通信させることで遠隔操作を行う。この形が長く続いてきました。

　

しかし、コロナ禍を契機としたリモートワークの急拡大により、この構造は大きく変わります。業務継続を最優先とする中で、多くの企業が短期間でSSL方式のVPNを導入し、社内ネットワークへの入口を外部に公開しました。これにより、機器の脆弱性や強度の弱い認証情報を悪用して正面から侵入する直接攻撃が急増し、現在のランサムウェア被害の大半を占めるに至っています。

　

直接攻撃がもたらした最大の変化は、被害の深さと広がりです。間接攻撃では、侵害の起点は原則として１端末・１アカウントに限定されていました。他方でVPNを突破した直接攻撃では、侵入した時点で攻撃者はLANの内部、すなわち複数のサーバや端末を見渡せる位置に立ちます。結果として、認証情報の横展開、管理者権限の奪取、バックアップ領域の破壊までが短時間で進み、被害は一気に全社規模へ拡大するようになりました。

　

過去には、CVE-2018-13379に代表されるようなVPN製品の重大な脆弱性が広く悪用され、多数の企業が侵害されました。当時は、設定や運用以前に「存在しているだけで危険な入口」があり、直接攻撃が極めて成立しやすい状況でした。この時代に、ランサムウェア被害が深刻化したのは必然と言えます。

　

一方で、現在は再び環境が変わりつつあります。単純に突けば侵入できるような深刻な脆弱性は減少し、VPN製品そのものの設計思想も見直されています。たとえば、SSL方式のVPNを縮小・終了し、IPsec方式を主軸とする動きも出てきました。IPsec方式は、そもそもログイン画面を全世界に公開しない構造であり、認証情報を盗んだだけでは侵入できません。

　

この流れが今後2〜3年で進めば、現在主流となっている「認証情報を使った直接攻撃」は、攻撃者にとって成功率の低い手法へと変わっていくと考えられます。攻撃者は感情ではなく合理性で動きます。難しくなった入口に固執する理由はありません。現在、確立されているビジネスモデル「RaaS（Ransomeware as a Service）」の構成も変化してくると思われます。

　

その結果、攻撃は再び原点に戻ります。すなわち、端末利用者を起点とする間接攻撃への回帰です。マルウェア付きメール、フィッシング、水飲み場型攻撃、偽の更新通知やサポート詐欺など、手法は変化し続けますが、本質は変わりません。人の判断を誤らせ、端末内部で不正な動作をさせることです。

　

間接攻撃の特徴は、侵害のスタート地点が１端末・１アカウントに限定される点にあります。直接攻撃のように、侵入した瞬間からLAN全体を掌握できるわけではありません。端末がログオフされ、電源が落ちれば攻撃は止まります。つまり、時間と範囲に制約のある攻撃です。

　

しかし、この制約は組織の設計次第で簡単に崩れます。侵害されたアカウントが管理者権限を持っていれば、不正プログラムは端末全体に常駐し、再起動後も活動を継続します。権限が過剰であれば、他の端末やサーバへの横移動も可能になります。攻撃の種類よりも、「侵害されたアカウントに何を許しているか」が被害規模を決定するのです。

　

このため、今後の防御の重心は「侵入を完全に防ぐ」ことから、「侵入される前提で被害を拡大させない」設計へと移行します。最小権限の原則、共通認証情報の排除、OSの更新、基本的なウイルス対策といった地道な対策こそが、間接攻撃時代において最も効果を発揮します。重要なのは高度さではなく、攻撃が成功しても致命傷にならない構造を持つことです。

第２章へ