EN
企業の防御を破壊する
「ネットワーク貫通型攻撃」の新たな脅威
企業ネットワークの境界を守るVPN機器やルーターといったセキュリティ・インフラが、サイバー攻撃者の新たな標的となっています。こうした境界機器は、外部インターネットと社内ネットワークを隔てる“防御壁”として機能する要(かなめ)ですが、管理の不備が攻撃者に狙われるケースが急増しているようです。
情報処理推進機構(IPA)は2025年10月末、これらの機器がサイバー攻撃者によって「ORB」化される危険性に関する記事を、VPNとルーターの2種類に分けて発表しました(VPNの記事、ルーターの記事)。ORBとは攻撃者がセキュリティ対策の甘い機器を乗っ取り、それを不正な通信の中継拠点として利用する手口を指します。ORBは「Operational Relay Box」の略で、直訳すると「運用中継装置」という意味になります。つまり、VPNやルーターが「踏み台」として利用されることを意味します。
ORBは、本来は堅牢であるはずの企業の防御壁を迂回し、内部ネットワークへ侵入するための足掛かりを作られる「ネットワーク貫通型攻撃」の一種です。特に、中小企業や拠点で利用されるルーター、IoT機器などは、脆弱な設定や古いファームウェアが放置されがちであり、攻撃者にとって格好のターゲットとなっています。
被害者のはずが、いつの間にか「加害者」に!?
自社の機器がORB化された場合、複数の重大なリスクを負う恐れがあります。そのリスクのひとつが、サイバー攻撃の「中継点」として加担させられるというものです。
乗っ取られた機器は、通信元の隠蔽(アトリビューションの偽装)を目的として、第三者へのDDoS攻撃の中継点として悪用されることがあります。IPAの資料では、実際にルーター等で構成されたボットネットがDDoS攻撃に用いられ、結果的に「加害者」とみなされかねないリスクを指摘しています。つまり、企業は自社の機器を乗っ取られた被害者にも関わらず、他社にサイバー攻撃した加害者になる恐れがあることになります。
別のリスクとしては、内部侵入と長期潜伏の拠点化のリスクが挙げられます。
攻撃者は乗っ取った機器を侵入口として活用し、社内ネットワークの偵察を行います。たとえばVPN機器の認証情報が窃取されれば、正規のアクセスを装って内部に侵入され、機密情報や顧客データの漏洩につながる恐れがあります。さらに、ORB化された機器は、攻撃者が外部からの追跡を逃れるための“隠れ家”として悪用されることもあるようです。
VPN・ルーターのセキュリティを再点検する
3つの必須対策
こうしたORB化による脅威への対策として、IPAはいくつかのポイントを挙げています。
対策のひとつが、ファームウェアの管理とライフサイクルの見直しです。VPN機器やルーターのファームウェアを常に最新の状態に保つことは、ORB化を防ぐ基本的かつ重要な防御策です。ベンダーから提供されるセキュリティパッチには、既知の脆弱性への修正が含まれているため、これを適用することが求められます。
ただし、メーカーのサポートが終了した機器(EOS/EOL製品)には、新たな脆弱性が発見されても、修正パッチが提供されません。これらを運用し続けることは極めて危険であるため、IPAでは速やかにサポート期間内の現行製品へリプレースすることを推奨しています。
ルーターについては、機器の管理画面へのアクセスに使用されるパスワードを、推測されにくいものに変更することが指摘されています。警視庁のサイトでは、工場出荷時のデフォルトパスワードを決して使用せず、推測困難な複雑で長いパスワードを設定し、定期変更することが挙げられています。
このほかの対策としては、管理インターフェースを外部に公開せず、不要なサービス・ポートを停止する「公開設定の最小化」や、ASM(Attack Surface Management)を活用して自社のIT資産の公開状況を把握し、不審な中継通信を継続的に監視する「可視化・監視の強化」、ファイアウォールやIDS/IPSを組み合わせた「多層防御の実装」などが挙げられています。
VPN機器やルーターは、企業のネットワークを守る “最前線”の機器です。今回IPAが警告したORBの脅威は、一企業のセキュリティ問題にとどまらず、サプライチェーン全体やインターネット社会の安全性に関わる重大な課題です。もし対策をしていないのであれば、「我が社はたぶん大丈夫」という過信は捨て、いちど機器の設定を見直しておくべきでしょう。
