VPN機器「乗っ取り」の危険も IPAが警鐘、社内ネットワークへの侵入だけじゃない：対象のVPN機器と基本対策も解説

IPAは、VPN機器が組織内部への侵入の入り口になるばかりでなく、攻撃の中継拠点として悪用される恐れがあるとして注意を促した。

[＠IT]

　情報処理推進機構（IPA）は2025年10月31日、ネットワーク境界に位置するVPN（仮想プライベートネットワーク）機器において、深刻な脆弱（ぜいじゃく）性が相次いで報告されているとして警戒を促した。ネットワークの外部から組織内部のネットワークに侵入する「ネットワーク貫通型攻撃」に悪用される事例が確認されているという。

　脆弱性が悪用されると、ネットワークへの侵入を許すことに加え、機器が攻撃者に乗っ取られる可能性がある。IPAはそれによって生じる可能性のある影響について注意を促した。今回の注意喚起は、VPN機器が組織ネットワーク内部への侵入を許す入り口になるばかりでなく、侵入後にその機器が攻撃基盤に悪用されるリスクがあることを示している。

VPN機器への脅威が深刻化、IPAが警鐘

　VPN機器に対するネットワーク貫通型攻撃によって、攻撃者が標的組織のネットワークに侵入して機密情報を窃取する恐れがある。

　侵入した機器が「ORB」（Operational Relay Box、攻撃の中継拠点）にされ、他組織への踏み台攻撃に悪用される可能性もある。ORB化された機器がbotネットの一部として運用されているとの指摘もある。侵入後に長期間潜伏して内部偵察や継続的な攻撃準備に利用されるケースも確認されている。

　こうした被害は信用失墜や訴訟、取引停止など重大な経営リスクにつながる恐れがある。

　悪用される恐れのある機器の脆弱性の例として、IPAは以下を挙げている。

• NetScaler ADC（旧Citrix ADC）およびNetSacler Gateway（旧Citrix Gateway）の脆弱性（CVE-2025-7775など）
• Ivanti Connect SecureおよびPolicy Secureなど（CVE-2025-22457）
• Fortinet製FortiOSおよびFortiProxy（CVE-2024-55591）

ネットワーク貫通型攻撃やORB化を防ぐ対策

　IPAは、ネットワーク貫通型攻撃やORB化を防ぐための具体的な対策も示している。

迅速なパッチ適用・機器の更新

　まず重要なのは、パッチを速やかに適用すること。機器ベンダーが提供する更新プログラムを放置せず、サポート期間を過ぎた古いVPN装置やネットワーク機器は更新、もしくは廃棄を検討する必要もある。

公開設定の最小化

　機器の公開設定を最小限に抑えることも欠かせない。管理用インタフェースをインターネットに直接さらさず、不要なサービスやポートは停止しておく。

可視化・監視の強化

　ネットワークの可視化と監視体制を強化することも求められる。ASM（Attack Surface Management：攻撃対象領域管理）などの仕組みを活用し、不審な中継通信を監視する。

多層防御の実装

　攻撃の侵入や拡散を防ぐためには、多層的な防御構成が有効だ。ファイアウォールやIDS（侵入検知システム）、IPS（侵入防止システム）を適切に組み合わせ、ネットワークセグメントを分離して被害の拡大を抑える。

体制整備と訓練

　技術的な対策に加えて、組織としての危機管理体制を整えることが求められる。IPAは、セキュリティ対策と並行してBCP（事業継続計画）やBCM（事業継続マネジメント）を整備し、インシデント発生時に迅速な対応が取れるよう訓練を重ねるべきだと指摘している。

　多くの組織にとってVPN機器は外部ネットワークとの接点となる。自社のデータや事業を守ることに加え、自社のネットワークが“攻撃の起点”にならないよう平時から基本的な対策を徹底することが欠かせない。