Lockiron / The Fortress of a Solo IT Manager | 一人情シスの砦

UTM神話の崩壊と「多層防御」の嘘:中小企業が一点突破で守るべきは「VPN機器の脆弱性」と「RDP開放」の即時閉鎖だけだ

#ランサムウェア #セキュリティ #VPN #RDP #ひとり情シス

目次

「サイバー攻撃が高度化しているので、多層防御が必要です」 「AI搭載の最新UTM(統合脅威管理)を入れれば、ランサムウェアも防げます」

もしあなたの会社の出入り業者が、こんなセールストークで月額数万円のUTMリース契約を迫ってきているなら、その見積書は今すぐシュレッダーにかけていい。 なぜなら、中小企業を襲うランサムウェア被害の現実は、そんな「高度な」攻撃などではないからだ。

彼らは、壁を壊して入ってくるのではない。 あなたが不用意に開け放った「裏口(VPN)」と「窓(RDP)」から、土足で堂々と入ってくるのだ。

今回は、警察庁やセキュリティ機関が公開している「不都合な真実(統計データ)」を突きつけ、カモにされないための、そして会社を本当に守るための「一点突破」のセキュリティ論を展開する。

1. 警察庁のデータが暴く「8割の絶望」

精神論はやめよう。数字の話をする。 警察庁が公表した 「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」というレポートを見てほしい。ここに、ランサムウェア被害に遭った企業の「侵入経路」がはっきりと記されている。

  • VPN機器からの侵入:約62%
  • リモートデスクトップ(RDP)からの侵入:約19%

この2つを足すと 約81%になる。 メールの添付ファイルを開いて感染? Webサイトを見て感染? そんなものは全体の数%に過ぎない。 被害企業の8割以上が、 「VPN機器の脆弱性を放置していた」か 「RDP(リモートデスクトップ)をインターネットに全公開していた」かのどちらかなのだ。

つまり、数百万かけて高機能なUTMをゲートウェイに置こうが、その脇にあるVPN装置のファームウェアが古ければ、 攻撃者はUTMなんて無視してフリーパスで入ってくる。 これが「多層防御」という言葉に隠された、中小企業セキュリティの欺瞞だ。家の玄関に警備員を立たせているのに、勝手口の鍵が壊れている状態と同じである。

引用:警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」 https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6kami/R06_kami_cyber_jousei.pdf

2. 「VPN」という名の時限爆弾

なぜVPNが狙われるのか。それは、多くの日本企業が「VPN機器=ハードウェア」だと認識しており、「一度設置したら壊れるまでそのまま(塩漬け)」にする文化があるからだ。 特に、以下のメーカーのVPN装置を使っている場合は、今すぐ確認してほしい。

  • Fortinet (FortiGate)
  • Pulse Secure (Ivanti)
  • Citrix

これらには過去、 「認証なしでID・パスワードを含むメモリ情報を丸見えにできる」という、とんでもない脆弱性(CVE-2018-13379など)が見つかっている。 問題は、この脆弱性が公表されて数年経っても、パッチを当てていない中小企業が山のようにあることだ。

攻撃者は世界中のIPアドレスをスキャンし、パッチ未適用のVPN機器リストを持っている。彼らにとってランサムウェア攻撃は「ハッキング」ではない。リストにあるIPに接続し、 漏洩したIDで「ログイン」するだけの事務作業なのだ。

ベンダー任せにしていると、「使えるからヨシ」としてファームウェア更新が見送られることがある。「保守契約」に入っていても、契約内容が「ハードウェア故障時の交換」だけで、 「脆弱性対応(ファームウェア更新)」が含まれていないケースが驚くほど多い。これこそが、あなたが確認すべき契約の穴だ。

3. 「RDP(3389番ポート)」は招待状

もっと酷いのがRDP(リモートデスクトッププロトコル)だ。 「テレワークしたいから、社内のPCに家のPCから繋げるようにして」 社長にそう言われて、ルーターの設定で「ポートフォワーディング(静的NAT)」を設定し、3389番ポートをインターネットに開放していないだろうか?

これは、 「どうぞ私のPCを乗っ取ってください」と世界中に看板を出しているのと同じだ。 RDPのログイン画面がインターネットに見えているだけで、攻撃者は「ブルートフォース攻撃(総当たり)」や「辞書攻撃」を24時間365日仕掛けてくる。パスワードが「pass1234」のような単純なものなら数秒、複雑でも時間の問題で突破される。

Shodanという検索エンジンを使えば、RDPを開放している無防備なサーバーは一瞬で見つかる。攻撃者はそこを叩くだけだ。高度なスキルなど必要ない。

4. あれこれやるな。「2つの穴」だけ塞げ

予算も人もいない中小企業(ひとり情シス)がやるべきは、高価なソリューションの導入ではない。以下の3点を、今すぐ、今日中に実行することだ。これだけで生存確率は8割上がる。

① VPN機器のファームウェアを「最新」にする(即時)

「週末にやろう」ではない。「今夜」やるレベルの話だ。 管理画面に入り、ファームウェアバージョンを確認する。ベンダーに電話して「最新の脆弱性パッチは当たっていますか? 当たっていないなら今すぐ当ててください」と怒鳴り込んでもいい。それが彼らの仕事だ。

② RDP(3389)の外部公開を「禁止」する

もしルーターでポート3389を開けているなら、今すぐ閉じる。 「社長が使えなくなる」と文句を言われるかもしれないが、「ランサムウェアに入られたら会社が潰れます」と言えばいい。 どうしても外から繋ぎたいなら、VPN経由にするか、TeamViewer等のクラウド経由のリモートアクセスツールを使うべきだ。 生のRDPをインターネットに晒すのは自殺行為である。

③ VPNアカウントに「多要素認証 (MFA)」を入れる

これが唯一の「銀の弾丸」に近い対策だ。 万が一IDとパスワードが漏れても、スマホの認証アプリやSMS通知がなければログインできない。これで「リスト型攻撃」はほぼ防げる。 最近のVPN機器なら標準機能でMFAがついていることが多い。「設定が面倒だから」とOFFにしていないか? その怠慢が数千万円の身代金請求に繋がる。

5. ベンダーへの「逆提案」スクリプト

最後に、UTMを売りつけに来た営業マンへの断り文句を授ける。

営業マン: 「弊社の最新UTMを入れば、ランサムウェアもAI検知で防げます!」 あなた: 「ありがとうございます。ところで、警察庁のレポートでは侵入経路の6割がVPN機器の脆弱性だとあります。御社の提案には、 VPN機器のファームウェアを24時間以内に適用するSLA(サービスレベル合意)は含まれていますか?」

営業マン: 「えっ、それは保守の範囲外でして…お客様の方で…」 あなた: 「では、UTMを入れる前に、まず現在のVPNのパッチ適用にお金を使います。玄関(UTM)を強化しても、勝手口(VPN)が開いていたら意味がないので」

これでいい。 あなたの会社を守るのは、光る箱(UTM)ではない。 「脆弱性を放置しない」という、地味で泥臭い運用(オペレーション)だけが、ランサムウェアから会社を守れるのだ。

まとめ:やることリスト

  • 自社のVPN機器のメーカーと型番を調べる
  • 現在のファームウェアバージョンが最新か確認する
  • ルーターの設定を見て、ポート3389 (RDP) が開いていないか確認する
  • VPN接続時の多要素認証 (MFA) が有効になっているか確認する
  • ベンダーとの保守契約書を見直し、「ファームウェア更新」が含まれているか確認する

これらにチェックが入っていないのに「セキュリティ対策」を語る資格はない。今すぐ作業に取り掛かろう。

付録:対AI相談プロンプト

この記事の内容を自社で実践したいが、何から手をつけていいかわからない、あるいは上司への説明資料を作りたい場合、以下のプロンプトをChatGPTやClaudeなどにコピペして相談してみてほしい。

# Role
あなたはセキュリティの専門家であり、中小企業の味方である情シスコンサルタントです。

# Situation
地元のベンダーから「UTMを入れればランサムウェアは防げる」と営業を受けていますが、私は「VPN機器の脆弱性修正」と「RDPの閉鎖」こそが最優先だと考えています。

# Goal
上司(セキュリティに詳しくない社長)に対して、以下の3点を優先して実施するための「稟議書(または説明資料)の構成案」を作成してください。
1. UTM導入よりも、VPN機器のファームウェア更新(即時実施)が優先であること
2. 業務で使っているRDP(ポート3389)を閉鎖し、代替手段(VPN経由など)に切り替えること
3. VPNアカウントにMFA(多要素認証)を強制導入すること

# Constraints
- 難しい専門用語は使わず、経営リスク(金銭的被害、信用失墜)の観点から説明してください。
- 警察庁のデータ(侵入経路の8割がVPNとRDP)を根拠として引用してください。
- 「お金をかけずに今すぐできること」を強調してください。
ホームに戻る