リモートワークの普及や多拠点化が進んだ昨今、企業のネットワークの基盤としてVPN機器はかつてなく重要度を高めています。在宅勤務者、全国の拠点、業務委託先──多くの通信が日々の業務を支えている現在、VPNは「止められない装置」であり、同時に「攻撃者が最も狙いやすいアタックサーフェス」でもあります。

そのリスクの象徴が、VPN機器が攻撃インフラとして悪用される「ORB（Operational Relay Box）化を伴うネットワーク貫通型攻撃（＝ORB型攻撃）」 です。2024年～2025年にかけてIPA（情報処理推進機構）がORB化を伴うネットワーク貫通型攻撃に対して注意喚起を行い、警察庁も資料『令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について』でランサムウエア感染経路の8割以上がVPN やリモートデスクトップ用の機器からの侵入と報告しました。このように、VPNを攻撃の入り口になりうるものとして注視する風潮は高まっています。

この記事では、VPNが“攻撃の中継器”に変貌するORB型攻撃の構造やリスクを解説した上で、多くの企業が現実的に取り組める防御設計と運用対策を整理します。

【関連記事】VPNとは？リモートワークのセキュリティ向上とこれから

VPN機器が“攻撃インフラ化”する時代──中堅企業が直面する新リスク「ORB型攻撃」とは？

「ORB（Operational Relay Box）型攻撃」とは、VPN機器やルーター、ファイアウォールなどのネットワーク機器を乗っ取り、攻撃者の“中継拠点（リレー装置）”として悪用するサイバー攻撃の手口です。単に社内ネットワークへの侵入口としてだけでなく、その企業の機器から別の標的に攻撃通信を飛ばすためにネットワーク機器が“操作”される点が一番の特徴といえるでしょう。

具体的なORB型攻撃の仕組みと手順を、以下の3ステップで説明します。

ステップ1：脆弱性・設定不備を足掛かりにした侵入

ORB型攻撃はネットワーク機器への侵入から始まります。攻撃者は、VPN機器やルーターに残された既知の脆弱性、初期設定のまま放置された管理画面、推測可能な認証情報などを起点に機器へアクセスします。特にVPNは“24時間稼働・外部公開”という性質から、脆弱性スキャンやリスト型攻撃の標的になりやすいポイント──アタックサーフェスなのです。

【関連記事】製造業のサイバー攻撃対策で網羅すべき「アタックサーフェス」

ステップ2：“管理者に気付かれずに居座るための仕組み”の構築

侵入に成功した攻撃者は、“管理者に気付かれずに居座るための仕組み”を構築します。その代表的な手段は以下の通りです。

ファームウエアの改ざん

VPN機器内部のOSや制御プログラムを書き換え、攻撃者が意図した処理（通信の不正な転送・秘密チャネルの維持など）を“正規プロセスに見えるように”紛れ込ませます。アップデートで上書きされにくい領域を対象に行われることも多く、管理者の操作では復旧できない可能性もあります。

設定ファイルへの不正なルール追加

パケット転送規則やVPNトンネル設定に、攻撃用の外部C2サーバーへ向かう経路を密かに追加します。これらは正規の設定に紛れる形で記述されるため、GUI管理画面では確認できず、発見が遅れることが少なくありません。

バックドアの埋め込み

攻撃者専用の“裏口アクセス手段”であるバックドアを作成する方法です。特定のポート番号を開放する、存在が気付かれないように管理者アカウントを追加する、暗号鍵を複製して外部から装置を操作できるようにするなど、方法は多岐にわたります。

ORB型攻撃では、これらの複数の仕掛けを組み合わせることで、攻撃者が“管理者に排除されない恒常的な占有状態（Persistence）”を確保します。再起動・再設定といった一般的なリカバリ操作では除去できないため、侵害が長期間気付かれず、気付けば被害が拡散・重篤化することが少なくないのがこの攻撃の深刻な点です。

ステップ3：“中継器（Relay Box）”として第三者攻撃に利用

非正規の通信経路、秘密チャネルが確立すると、攻撃者は自らの拠点を使わず、侵害した企業のVPN機器を経由して別の標的組織へ攻撃を行います。こうなると厄介なのが、企業は自社ネットワークへの侵入の被害者であると同時に、“他組織への攻撃の踏み台”として悪用され意図せず加害者の立場に置かれるという点です。

攻撃者は前述の通り、VPN機器の脆弱性や認証情報の窃取を足がかりに管理者権限を奪取し、バックドアやプロキシ機能を埋め込みます。その結果、攻撃者による以下の一連の行動が、すべて企業のVPN機器経由で行われることとなるのです。

• 社内ネットワーク内部への横展開（侵入の足場）
• 外部の標的への攻撃通信のリレー（DDoS・スキャン・侵入の踏み台）
• 本来のログを改ざん・抹消して攻撃元の特定を困難にする隠蔽行為

このように、ORB型攻撃はインターネットに直接さらされる境界機器が狙われるため攻撃が成立しやすいだけでなく、いったん侵入されると内部監視の網から漏れやすく、最終的には自社が被害を受けるだけでなく“加害側”として法的・社会的リスクも負う可能性をはらんでいます。

今、VPN機器がORB型攻撃の格好の標的となっている！ その理由とは？

今、VPN機器はORB型攻撃の格好の標的となっており、企業規模や情シス部門の体制を問わず対策は不可欠となっています。

なぜVPN機器が格好の標的となっており、どのような点に注意すればよいのか。まずは、典型的な攻撃事例の背景にある理由を押さえましょう。

1. 攻撃者がVPNを好む理由──“信頼された入口”が“自由に動ける中継器”へ変わる

攻撃者がVPN機器を狙う理由は極めて明快です。VPNは内部ネットワークへ到達するための“正規ルート”であり、侵害後もその正当性を保ったまま活動できる数少ない装置だからです。侵害後の攻撃通信は「正規通信と区別がつかないトラフィック」に偽装されるため、IDS（侵入検知システム）・IPS（侵入防止システム）でも特異性を判断できない可能性があります。

さらに、VPN接続後の“横移動（lateral movement）”が容易なのも攻撃者にとってのメリットの一つです。VPN＝内部ネットワークという認識で境界型防御をメインとしている企業はまだまだ少なくありません。そのような環境で攻撃者は、侵入後すぐにADサーバー、NAS、業務系サーバーなどの主要サーバーを探索することが可能となるのです。

このようにVPNを「自由に動ける、双方向の通路」としようと多くの攻撃者は考えています。

2.企業で進む“VPN”依存──VPN製品は攻撃者にとって “コスパが良い”

冒頭で触れたようにリモートワークや委託業務の増加により、VPNは社員の在宅勤務用のリモートアクセス、拠点・工場・データセンター間の常時接続、委託ベンダー・保守ベンダーによるリモート作業といった用途で常時活用されています。

これを、攻撃者側の目線で見てみましょう。

「常にインターネットから見える」「止めにくい」「侵入に成功すれば、内部にも外部にも自由にトラフィックを流せる」……。

これらは攻撃者にとって「コスパが良い」と感じられる特性であり、実際、2024年の『情報セキュリティ白書』（IPA）でも、VPN製品に対するネットワーク貫通型攻撃やゼロデイ攻撃が特に取り上げられています。

3.VPNの構造的な狙われやすさ──狙われやすい企業の特徴は？

VPN機器がORB攻撃の温床となりやすいのには技術的な理由だけでなく、下記のような構造的な要因があります。

• 初期設定のまま運用されており、それ以上の防御・検知が行われていないケースが少なくない
• 更新サイクルが長いため、管理者アカウントや設定が長期固定化しやすく、脆弱性が放置されやすい
• 実務上の理由から、ファイアウォールより前段に設置される構成が多い
• 1台にリモート接続、拠点VPN、委託先アクセスなどさまざまな機能が集約されがちで、侵害時の影響範囲が非常に大きい

こうした条件が重なることで、VPN機器は「侵入しやすく、居座りやすく、他者への攻撃にも使いやすい」理想的なORB候補となってしまっています。特に、人手不足でパッチ適用に数週間要する企業や、ネットワーク分離が不十分な企業などは狙われやすく、被害も拡大しやすいと考えられます。

実務で“ORB化リスク”を抑止する設計と運用──現代の企業が取るべき現実解

ORB型攻撃が成立する背景には、VPN機器が「内部への信頼された入口」という設計思想を前提にしてきた長年の構造的問題があります。そこで求められるのが、ネットワーク設計・運用プロセス・ゼロトラストの三つの視点で根本的に防御態勢を見直すことです。

以下で、ステップごとに詳しく見ていきましょう。

1.設計の再構築──VPN接続後のアクセス範囲を最小化するネットワーク分離

VPNが侵害された際に攻撃者が自由に横移動できる最大の理由は、「VPN接続＝内部ネットワークへの包括的なアクセス権付与」という設計が依然として多くの企業で維持されていることにあります。

これを防ぐためには、まず「ネットワーク区画（セグメント）の再設計」が必要です。

VPN接続後に到達可能な範囲を、部門単位・業務単位・アプリケーション単位など論理的に細分化し、最小権限アクセスモデルを適用しましょう。ゼロトラストが求める「接続は許可しても、到達範囲は最小限に抑える」という考え方をVPNにも適用し、以下のような認証後のトラフィックを強制的に制限する仕組みを構築することが重要です。

• 業務系サーバー、基幹系、管理系、開発系などを論理的に分離し、VPN利用者はあらかじめ定義されたゾーンのみにルーティングされる設計とする
• アプリケーション型ファイアウォール（FW）などを導入し、万が一の侵害時の影響範囲を限定する
• リモートアクセス・拠点間VPN・委託業者接続といった用途ごとに接続経路を分離する

2.運用プロセスの刷新──脆弱性公開から攻撃開始までの短時間に対応できる体制構築

VPN機器に関するCVE（Common Vulnerabilities and Exposures：セキュリティ上の脆弱性に識別子を与え、リスト化したもの）に対し、公開直後から数時間〜数十時間で大規模なスキャンが始まることが既に観測されています。この“攻撃者の速度”に対抗するには、運用プロセスを従来の「日次／即時対応」を前提とした構造に設定する必要があります。

その中心となるのが、パッチ適用プロセスの高速化です。望ましいのは、最低でもVPN機器の脆弱性情報は日次でチェックし、緊急パッチについては48時間以内に適用する運用ルールです。特にゼロデイ脆弱性が公開された場合、攻撃開始までの時間が極端に短いため、即応フローを確立することが求められます。

加えて、認証情報管理の高度化も不可欠です。特に委託ベンダーなどの外部アカウントに対しては、多要素認証（MFA）の義務化、契約終了時の即時無効化、権限最小化といった運用ルールを整備しましょう。

3.監視と可視化──VPN機器を“内部資産”としてだけではなく“被攻撃対象”として扱う監視体系

VPN機器を通したORB型攻撃が攻撃者にとって魅力的なのは、侵害後の通信が正規セッションに完全に偽装できるため、従来型監視では検知が困難な点にあります。そこで、監視の中心をVPN機器に置く発想の転換が必要です。

まずは、VPN機器のログを装置内だけでなく、SIEMや監視基盤を活用して管理します。接続ログ、管理GUIアクセスログ、設定変更ログなどをリアルタイムで収集し、挙動分析の対象とすることで、侵害の初期兆候を早期に検出しやすくなります。

また、ふるまい分析による異常検知も有効な手段です。VPN接続後の異常なネットワーク探索、通常とは異なる時間帯のアクセス、過剰な外向き通信など、トラフィックパターンを基準とし、接続後の不審な動きがアラートされる体制を作りましょう。従来のシグネチャベースの検知だけでは、新しい攻撃に対し対処することができません。

ゼロトラスト時代、VPN自体を“セキュリティの要点”と捉えなおす視点が重要

VPNは企業ネットワークにおける重要な役割を担っており、欠かせないIT資産の一つです。しかし、だからこそ攻撃者にとって最も魅力的な攻撃の足掛かりとなることを忘れてはなりません。