- 2025/12/05
- XDR
第1回 「ネットワーク(VPN)機器からの侵入に気づけない」-【3回シリーズ】もう『気づけない』とは言わせない!ランサムウェア被害の半数を防ぐ XDR可視化術
Post by : Yohei Ohashi
ランサムウェア被害の深刻化に対応するXDR(Extended Detection and Response)に焦点を当てた3回シリーズのブログを開始します。記念すべき第1回である今回は、シリーズテーマの原点ともいえる「ネットワーク(VPN)機器からの侵入に気づけない」という課題に焦点を当てます。VPN経由の攻撃リスクがなぜ急増しているのか、そしてCybereason XDRがいかにその脅威を可視化し、早期対応を可能にするか、その有効性について具体的に解説していきます。
1. VPN機器を狙う攻撃の増加とその背景
警察庁の最新報告によると、令和6年のランサムウェア被害件数は222件に達し、依然として高水準で推移しています。特に注目すべきはVPN経由の感染が全体の約5割(47%)を占める点で、攻撃経路としてのリスクが急増しています。
一方で、企業の約半数が依然としてVPNを利用しており、その7割以上が脱VPNの移行計画を持っていないという調査結果もあります。ZTNAやSASEなど新しいセキュリティモデルへの移行が理想とされながらも、コストや運用負担の問題で多くの企業が従来のVPNを継続しているのが現状です。
攻撃者はこうした環境を狙い、脆弱なネットワーク機器を足掛かりに社内ネットワークへ侵入します。VPN認証情報の窃取や設定改ざん、Webシェルの設置などによって長期間にわたり不正アクセスを継続し、情報窃取やランサムウェア攻撃を行うケースも少なくありません。
2. Cybereason XDRの特徴と分析モデル
こうした状況下で求められるのは、「侵入を完全に防ぐ」よりも「侵入されたとしても早期に検知・対応する」体制の構築です。
Cybereason XDRは、EDRで培った世界最高水準の検知能力をベースに、ネットワーク機器・クラウド・メールなど複数データソースを統合分析できるプラットフォームです。
主な特徴は以下の通りです:
- 地域ごとのデータ管理(日本・EU・US):顧客データを地域内で安全に保管
- オープンなXDR:主要ベンダー(ネットワークベンダー系は、Palo Alto, Fortinet, CheckPoint, Ivantiなど)と連携
- 相関分析による「攻撃ストーリー(MalOp)」の自動生成:複数の検知を一つの攻撃シナリオとして可視化
- Managed XDRサービス:専門アナリストによる24/365監視と推奨対応を提供
この「MalOp(Malicious Operation)」によって、単一のアラートでは見えない攻撃全体像を時系列で把握でき、インシデント対応のスピードと精度を大幅に高めます。
Fortigate連携による攻撃の可視化事例
FortigateとCybereason XDRを連携させた具体的な実例をご紹介します。VPN機器から出力されるログをXDRに取り込むことで、侵入前後の行動を相関的に把握できます。
例えば次のような攻撃シナリオを検知可能です:
- ブルートフォース攻撃:管理者アカウントへの多数のログイン試行
- ネットワークスキャン:短期間に過剰なポートスキャンを実施
- C&C通信の確立:外部の不審サーバとの異常な通信
- マルウェア実行:エンドポイント側での感染挙動
Fortigate単体では個別のログとして見逃しがちなこれらのイベントも、XDRがEDR情報と相関分析することで「一連の攻撃ストーリー」として自動的に可視化。結果として、偵察→侵入→感染→遠隔操作という攻撃の流れを一目で把握でき、初動対応の迅速化につながります。
4. 導入事例:KBCグループホールディングス様
KBCグループホールディングス様では、近年のネットワーク機器を狙う攻撃増加を受け、Cybereason XDRを導入されました。約1,000台の端末を対象に、EDR・NGAV・MDRに加えてXDRを活用しています。
導入前はファイアウォールログを保存していても、日常的に確認する余裕がなく、膨大なログ解析に時間がかかるという課題がありました。XDR導入後は、端末情報とファイアウォールログを相関的に分析できるようになり、検知精度と初動対応のスピードが大幅に向上しました。また、SIEM製品も比較検討されたものの、専門知識が必要で運用が難しいという課題から、使いやすく実運用に適したXDRを選択されたとのことです。
5. まとめ 〜XDR連携によるVPN機器との統合管理〜
ランサムウェア被害の半数以上がVPN経由であり、脆弱性などを突いた攻撃などにより内部に侵入され、重大なインシデントが発生します。万全の脆弱性対策をしていたとしても、ゼロディや未知の攻撃リスクは依然として残っており、偵察行為の早期検知や不正アクセスやログの監視、インシデント発生時の素早いレスポンス対応が重要となります。Cybereason XDRは主要なVPN機器との連携が可能であり、エンドポイントログとネットワークやVPNログの相関解析により、侵入前・侵入後の検知やレスポンス対策として有効と言えます。
