VPN機器等に対するORB(Operational Relay Box)化を伴うネットワーク貫通型攻撃のおそれについて
【概要】
ネットワーク境界に位置するVPN機器等において、深刻な脆弱性が相次いで報告され、実際にネットワーク貫通型攻撃に悪用される事例も確認されています。
これらの脆弱性を悪用されると、自組織のネットワーク内への侵入に加え、機器が攻撃者に乗っ取られ、ORB(Operational Relay Box。攻撃の中継拠点)として他組織への攻撃の踏み台として利用されるおそれがあります。
ネットワーク機器への不正なアクセスを含め、不自然な兆候を認知した場合には、末尾に記載のお問い合わせ先よりIPAに御連絡いただき、「サイバー状況把握」活動への協力をお願いします。
【影響】
VPN機器等に対するネットワーク貫通型攻撃により、以下のような影響が生じるおそれがあります:
- 1. 情報窃取
攻撃者が自組織のネットワーク内に侵入し、組織内の情報が窃取されるおそれがある。
- 2. ORB化
自組織の機器が第三者への攻撃の中継点として利用され、攻撃に加担するおそれがある。ORB化された機器がボットネットに組み込まれて運用されているとの指摘もある(脚注1)ため、注意が必要。
- 3. 長期潜伏
侵入拠点として保持され、内部偵察や継続的な攻撃の基盤となるおそれがある。有事の際にさらなる侵害が発生するリスクがあるとして欧米の政府機関から注意喚起がされている(脚注2)ため、注意が必要。
- 4. 社会的・法的リスク
信用失墜、訴訟、取引停止など、重大な組織的損失につながるおそれがある。
【対策】
ネットワーク貫通型攻撃やORB化に対する主な対策として、以下のものが考えられます。
- 迅速なパッチ適用・機器の更新
-
機器ベンダが提供する脆弱性対策済みのパッチを速やかに適用するとともに、サポートが終了している古い機器については更新または廃棄を検討する。
- 公開設定の最小化
-
管理インターフェースは外部公開せず、不要なサービス・ポートは停止する。
- 可視化・監視の強化
-
ASM(Attack Surface Management)を活用して公開状況を把握し、不審な中継通信を継続的に監視する。
- 多層防御の実装
-
ファイアウォール、IDS/IPSを組み合わせ、ネットワークセグメントの分離を徹底する。
- 体制整備と訓練
-
サイバーセキュリティ対策に加え、BCP(事業継続計画)・BCM(事業継続マネジメント)を通じた危機管理体制を整備し、訓練を定期的に実施する。
なお、VPN機器等に対するネットワーク貫通型攻撃で悪用されるおそれのある機器の脆弱性の例として、以下の製品に関連する脆弱性が挙げられます:
- NetScaler ADCおよびNetSacler Gateway(CVE-2025-7775等)
- Ivanti Connect SecureおよびPolicy Secure等(CVE-2025-22457)
- Fortinet製FortiOSおよびFortiProxy(CVE-2024-55591)
以下のこれまでのネットワーク貫通型攻撃・ORB化についての注意喚起等も参考に、必要な対策を行ってください。
- アタックサーフェスのOperational Relay Box化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~
- PHPの脆弱性(CVE-2024-4577)を狙う攻撃について
【参考】
本注意喚起と同時に以下の注意喚起を公表しておりますので併せてご確認ください。
【脚注】
-
脚注1
-
脚注2