そのランサム被害の原因、本当にVPN？ 「6割が侵入経路不明」の今、管理対象を勘違いしないためのポイント：設定ミスは30時間で入られる

2026年3月4日、「ITmedia Security Week 2026 冬」の「アタックサーフェス管理」セクションで、パネルディスカッション「やっぱり対象領域は明らかにしないといけないから」が行われた。

[宮田健，＠IT]

　登壇者は、インターネットイニシアティブの根岸征史氏、ソフトバンクの辻伸弘氏、脅威情報分析チーム LETTICEのpiyokango氏。このメンバーでアタックサーフェスマネジメント（以下、ASM）について語るのはこれで3回目となる。それでも、やっぱり明らかにしなければならないことがまだあるのだ。前回の「サイバー脅威と向き合うためにASMの盲点を探り、どこを攻撃対象領域（アタックサーフェス）として意識しなければならないのか」という議論から、脅威のリアル、参考となるガイドラインを踏まえつつ、昨今の事例を交えながらどのように「管理」すればいいのかを考えるセッションだ。本稿では、3人がASMについて語った講演内容を要約する。

• 前回レポート記事：「侵入前提」だけではやられる理由――真因究明、優先順位付けは大丈夫？　アタックサーフェス管理が無駄になるポイント
• 前々回レポート記事：流行中の「アタックサーフェスマネジメント」は使いものになるか？　根岸氏、辻氏、piyokango氏鼎談に見る3つの論点

左からソフトバンクの辻伸弘氏、脅威情報分析チーム LETTICEのpiyokango氏、インターネットイニシアティブの根岸征史氏

攻撃の6割が「調査中・記載なし」

　講演はまず、多くのインシデントをチェックしているpiyokango氏がまとめた「現状」を知ることから始まる。公表された事故事例の背後にある定量的データから、企業・組織が直視すべき「防御側の把握能力の限界」という現実を分析するものだ。

　piyokango氏は2025年に確認された500件超の公表事例に基づき、攻撃の内容を以下の表に整理した。特にpiyokango氏が気になったのを赤字で示している。この傾向は2024年と大きな変化はなく、認証・認可の不正利用（100例）、脆弱（ぜいじゃく）性の悪用（63例）が多いという結果となっている。一方、“325例”もある最大のケースが、「調査中・記載なし」。つまり、全体の6割が具体的な侵入経路が不明であり、特定、公表されていないことになる。

2025年の公表事例のうち、6割程度が「記載なし」であり、原因が不明（講演資料から引用）

　つまり、説明、公表されているケースを見れば大きな変化はないが、「いま何が起きているかという客観的なポイント、手を打つべきポイントの分析が一層難しくなっているというのが、2025年をまとめていて感じたことだ」とpiyokango氏は述べる。

　根岸氏も「公表できないのか、公表したくないのか、そもそも分からないのか、それが分からない。真の原因が分からないまま攻撃を受けているとしたならば大きな問題で、大変危険な状況だ」と指摘する。攻撃対象領域を管理するというのが今回のテーマなのだが、「この状況だと、どういう攻撃が多いのかすらも分からない」（根岸氏）。

　「数値上目立つものが攻撃のトレンドだと誤解してしまうと、正しい対処ができない」とpiyokango氏も懸念する。「この内訳が判明すれば、認証認可と脆弱性の順位が変わるかもしれないし、全く異なる原因が最も多いのかもしれない」（辻氏）

　その中でも、原因が明らかになっている事例もあるという。piyokango氏は気になる事例とそのポイント2つ挙げる。

事例から気にすべき点は（講演資料から引用）

　1つは、セキュリティ対策の実質的な無効化だ。大きな話題となったアサヒグループホールディングスの事例では、不正アクセスを検知する仕組みは導入していたが、被害発生の部分では把握に至らなかった。アスクルでもセキュリティ対策のシステムを導入していたものの、攻撃者がそれを無効化したという事例がある。

　もう1つは、侵入・掌握に要する圧倒的な速度だ。東海大学や美濃工業の事例では、侵入された後、攻撃者がその目的を達成するまでに要した時間が最大で1〜14時間と、想像をはるかに超えるスピードとなっていた。

　攻撃対象はもはや、セキュリティ対策のソフトウェアも含まれる。検知するための仕組みも各組織で整備が進んでいたとしても、「果たして、このスピード感に太刀打ちできるだろうか？」とpiyokango氏は疑問を呈する。

　根岸氏は、事例として特殊なものを挙げたのではなく、「手慣れた攻撃者ならできる」と指摘。ペネトレーションテストの経験がある辻氏も「『では、始めます』と言った1分後に管理者権限が取れたこともある」と振り返る。

　また、EDR（Endpoint Detection and Response）などのセキュリティ機構を無効化する傾向について根岸氏は「逆に言えば、攻撃側もEDRの“厄介さ”を認識しており、これらの対策の効果はおそらく高いのだろう」と指摘する。一方で、「それを回避されないためにどうすればいいのかという“運用面”に課題があるのだろう」とも指摘。「EDRも守ってあげなければならない」と辻氏も同意する。セキュリティ製品も導入した後が重要なのだ。

アタックサーフェスって、そもそもなに？

　続いて、辻氏はASMの定義、そして要件についてもう一度振り返る。政府機関はASM、正確には「アタックサーフェス」に関する定義を行っている。経済産業省が公開する「ASM（Attack Surface Management）導入ガイダンス〜外部から把握出来る情報を用いて自組織のIT資産を発見し管理する〜」では、ASMを「組織の外部（インターネット）からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出、評価する一連のプロセス」と定義している。

　米国立標準技術研究所（NIST）の文書（SP 800-53）におけるアタックサーフェスの定義は、「システム、システムコンポーネント、または環境の境界上で、攻撃者がそれらに対して、侵入したり、影響を与えたり、データを取り出したりしようとすることができる点の集合」とされている。辻氏は「インターネットからだけではなく、攻撃できるところ全てをアタックサーフェスと考えてほしい」と補足する。

政府機関によるアタックサーフェスの定義（講演資料から引用）

　続いて辻氏は、4つの文書を紹介する。米国CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）が出している運用指令「BOD 22-01」「BOD 23-01」「BOD 23-02」、そしてASD（Australian Signals Directorate）の「Essential Eight」だ。

　BOD（Binding Operational Directive）はCISAが連邦政府機関に向けた強制的、かつ拘束力のある運用指令だ。22-01はKEV（Known Exploited Vulnerabilities）の対応期限を個別に定めており、23-01は資産と脆弱性の検出プロセス、23-02は管理インタフェースの制御を強調する内容だ。特に23-01では、7日以内の資産の可視化、14日以内の脆弱性スキャンの義務付けが含まれている。このプロセスを回し続けることが義務化されているのだ。あくまで連邦政府機関に対するものだが、「こうすれば効果的という点で参考になる」と根岸氏は述べる。

米国CISAが出している運用指令「BOD 22-01」「BOD 23-01」「BOD 23-02」（講演資料から引用）

　辻氏は、この中でも「23-02」が登場した時に大きな興味を持ったという。これは管理コンソールをインターネットに向けては公開しないという、ごく当たり前の内容だ。しかし、「これを今さら言わねばならないほど、現状としては放置されているのではないか」と辻氏は指摘する。これが2023年時点に、わざわざ言わねばならない実情を考える必要がある。

　「そもそも管理インタフェースに到達できるだけで攻撃できる脆弱性もある。そこさえ閉じていれば守れた事例もあるのではないだろうか」（辻氏）

　続いて辻氏はオーストラリア政府機関向けにASDが公開しているドキュメント「Essential Eight」を紹介する。これは成熟度モデルに基づくベンチマークで、「どれだけ短期間にパッチ適用できるか」に応じて、成熟度0〜3を示す。最高レベルでは、悪用が確認された脆弱性に対して48時間以内のパッチ適用を求めている。

　下図の成熟度評価で、スラッシュの左側が既知の悪用が認められている脆弱性、右側が危険度が高い脆弱性への対応を表す。

オーストラリア政府機関向けに公開されている「Essential Eight」（講演資料から引用）

　個別の数字が妥当かどうかは組織によって異なるが、根岸氏は「危機意識の表れとして、こういった数字が具体的に出てくるガイドラインはなかなかない。一つの参考として分かりやすいのでは」とコメントする。

　辻氏も「48時間以内に、というのは非常に厳しい。しかしNデイ攻撃など攻撃の現状を考えると、パッチが出てから悪用されるまでの時間が短くなっている今、この厳しさも認識しなくてはならない」と述べる。

　この数字は、事前に準備をしていなければクリアできない。誰が、どう判断するかのプロセスをまとめる必要がある。

　「Essential Eightではこういう基準だが、自分たちの組織ではどういう基準が適切かを決めるためのものとして活用できる」（根岸氏）

　「迅速対応します、できるだけ早くやりますといった、フワッとした表現ではなく、自分たちに向けたSLA（Service Level Agreement）的なものを決めておくのはすごく大事。48時間以内にするために、自分たちなら何ができるかを考える、工夫するきっかけになれば」（辻氏）

　この流れで、辻氏は具体例として日本の金融サービス企業アクリーティブの事案レポートを紹介する。アクリーティブでは、2025年8月24日にベンダーに委託してファイアウオールを更新したが、その際に設定ミスが含まれていた。翌日の8月25日未明には不正アクセスが判明している。つまり、最大でも30時間程度で攻撃されている。

　「30時間放置したら、侵入されてランサム被害に遭う可能性があるということ。これはちょっと衝撃的」と辻氏。「侵入に使えるような、脆弱なところがないかを攻撃者から常に見られていると思わないといけない。何かやらかしたときにすぐ攻撃が来る」と根岸氏も警鐘を鳴らす。

アクリーティブにおける事例（講演資料から引用）

• 当社ネットワークへの不正アクセスによる個人情報漏えいのおそれに関するお知らせとお詫び
• 当社ネットワークへの不正アクセスによるシステム障害について（調査結果のご報告）

　辻氏は原因として、侵入のためのアクセス権を専門的に売る「イニシャルアクセスブローカー」（IAB）の存在を挙げる。専門業者が乱立することで、ビジネス上の競合も増えてきていると考えると、このようなスピード感も納得がいく。「脆弱な状態であれば、やられるのはもはや必然。後は順番がいつ回ってくるかという感覚かもしれない」（辻氏）

　一方で辻氏は、これを「ASMで管理するべきものなのか？」と疑問を呈する。仮にASMで見つけるにしても、48時間以内に対応まで間に合うはずもない。過去に紹介した事例にも似たようなものがあったが、そのときは10日間程度の猶予があった。10日間程度ならばギリギリ対処も可能かもしれないが、もはや攻撃も大きく進化している。

　こうした実情に辻氏は「ASMは保険的に活用するのはよいとして、そもそもこういった内容は異常系のテストや作業終了時のチェックなど、運用部分で対処すべきだ」と指摘する。アクセス制御が原因の事案は非常に多いことを踏まえ、「設定を変更したときに間違いがないか、ASMじゃない方法で見つけられるような仕組みにしなければならないのでは」と根岸氏も同意する。ASMだけでは攻撃者のスピードに負けてしまうのだ。

ASMの対象と攻撃対象とのギャップ

　根岸氏は、ASMで保護しようとしている対象と、攻撃者が標的にしている対象にギャップがあるのではないかという問題を提起した。

　根岸氏は3つの事例を基に解説する。どの事例も「われわれは攻撃者が狙っているものをちゃんと守れているのだろうか？」と考えさせられるものだ。

ASMの対象と攻撃対象とのギャップ（講演資料から引用）

　1つ目はSalesforceの事例だ。これはソーシャルエンジニアリングによる顧客情報の漏えい事件で、巧妙な攻撃者によってだまされた利用顧客が、ボイスフィッシングによってアクセス権を相手に渡してしまったことが原因とされている。セールスフォースは、大量の顧客情報を収集、活用するサービスなので、この事件により、膨大な数の顧客情報が漏えいしたことが確認されている。

　2つ目は「Salesloft Drift」「Gainsight」といったサードパーティーアプリケーションを経由して、Salesforceを狙う攻撃だ。これはSaaS全般に起き得るもので、利用者自身が狙われたわけではなく、利用者が使っているサービスで連携しているサードパーティーのベンダーが狙われたケースだ。

　3つ目は、Oracleが提供している、企業の重要情報を扱うERP（Enterprise Resource Planning）パッケージ「E-Business Suite」に対するゼロデイ攻撃だ。

　根岸氏が挙げた3つの事例は、それぞれ攻撃手法が異なるが、共通しているのは「ERPやCRM（Customer Relationship Management）といった企業の基幹業務システム、顧客情報を持つシステムが狙われている」ことだ。

　「確実に守らねばならないにもかかわらず攻撃者に狙われ、いとも簡単に情報が奪われている」と根岸氏は指摘する。攻撃経路も重要だが、そこにばかり注目してしまい、守りたいデータをおろそかにしていないか？　それが、根岸氏の論点だ。

　最近はランサムウェア侵入の原因としてVPN（Virtual Private Network）が挙げられることが増え、「脱VPN」という声も大きくなっている。キャッチーで分かりやすい上にVPNの課題もクリアになるという意味では悪くないが、「全く違う部分が狙われているとしたならば、力の入れるところが違うのでは」となるかもしれない。最も大事なのは、守るべきデータをしっかりと守ることに対する“答え”にあるはずだ。

　辻氏もこれに同意しつつ、「自分たちの環境から漏れることに関しては意識が高い。しかし、クラウドなど“預けたもの”も中身は全く同じ。外に預けたものが漏れることについてはまだ意識が低いのではないか。その差があるのはひしひしと感じる」と述べる。

　クラウドサービス、特にSaaSでは、ベンダー側の責任も含むことになり、自分たちだけでできる範囲も狭くなる。しかし、漏えいして困るのは自分たちだ。その点でも「守るべき情報がどこにあり、それに対してどう守れているのかという視点を考える。今どういう攻撃が来ていて、どういう経路を気を付けるべきかを両方考えねばならないはずが、偏りがあると思う。そこが盲点にならないようにしてほしい」と根岸氏は強調した。

---

　講演の最後、3人はASMからはやや脱線し「脱VPN」についても触れる。最近よく聞く「VPNが侵入経路になっていた」という説明にはミスリードが含まれていて、脆弱性を突かれて侵入されたのか、それともインフォスティーラーなどで既に奪われていた認証・認可情報が使われたのかでは対応が異なるはずだ。経路としてVPNが悪役になってしまったが、認証情報、つまり『ユーザー』に原因がある場合も考えられる。それは、ASMでは管理できない。

　今回はASMをテーマとしたが、ありとあらゆる視点がセキュリティ対策につながる。そのうち対策レベルが最も低いところから水が漏れてしまう。桶（おけ）の水位を高く保つにはASMだけでもダメで、さまざまなポイントを考える必要がある。そのきっかけとして、ポッドキャスト「セキュリティのアレ」を運営する3人の過去の講演レポート記事が参考になるはずだ。ASM以外をテーマにした講演レポートも今一度チェックしてほしい。