インフラ(OS・ミドルウェア・機器)系の攻撃と対策

攻撃視点の分類 → セキュリティ脅威マップ / レイヤーB「端末・ネットワーク・基盤を侵す」

ここでいう インフラ=サービスを動かす土台(サーバー・ネットワーク機器・OSなどの基盤ソフト)。家でいえば、目立つ玄関ドアではなく、水道管・配線・基礎のような「ふだん見ない部分」。その土台のソフトを 古いまま放置した“すきま”(=すでに世界中に知られている弱点) を突かれて、中に入りこまれる。フィッシングのように派手ではないぶん気づきにくく、いったん土台を取られると被害が一気に大きくなる。攻撃者は「新しい賢い手口」より、直し忘れた古い穴を好んで狙う。

このページの読み方 — 🟢 は全員が知っておく基礎、🔧 はエンジニア・運用担当者向けの実装/設定。まず🟢を全員で、🔧は技術担当が押さえる。

1. このジャンルの攻撃とは

OS(WindowsやLinuxなどの基本ソフト)、ミドルウェア(Apacheやnginxなどサービスを動かす中間のソフト)、VPN・ルーター・ファイアウォールといった 機器、さらにIoT機器やプリンタ・USBなどの ハードウェア ——これら「土台」の、

  • 直し忘れ(未更新の既知の弱点) を突いて侵入する
  • 設定のうっかり(初期パスワードのまま・余計な入口が開いたまま・管理画面を世界に公開) を悪用する
  • サポートが終わった古い機器/OS をそのまま使い続けているのを狙う

ことが目的。共通点は 「だます」のではなく「直っていない弱点・開きっぱなしの入口」を突く こと。だから守り方も共通で、“新しく保つ・閉じる・分ける” の3つに集約される。

2. 主な手口

手口 しくみ(なぜ入られるか)
未パッチの既知脆弱性 OSやApache/nginx等のミドルウェアに見つかった弱点が、修正プログラム(パッチ)を当てないまま残っている。弱点は公開情報なので、攻撃ツールも出回っている
誤設定(初期/デフォルトパスワード) 機器やソフトを買った/入れたときの 初期パスワードのまま。世界中で同じなので、まず試される
誤設定(不要ポート開放) 使っていない通信の入口(ポート)が開きっぱなし。入口が多いほど狙われる面が広い
誤設定(管理画面の公開) 本来は社内からだけ触る管理画面を、インターネットに直結してしまう。総当たりや既知の弱点で乗っ取られる
VPN/ルーター/ファイアウォール機器の脆弱性 “守るための機器”自身に弱点があると、守りの最前線が逆に入口になる。境界の機器は狙われやすい
EOL(サポート切れ)機器/OSの放置 メーカーの サポートが終わり、もう修正パッチが出ない製品を使い続ける。新しい弱点が見つかっても永遠に塞がらない
公開サーバの管理放置 誰も見ていない公開サーバが放置され、更新も監視もされない。忘れられた資産が穴になる
ハードウェア面(IoT機器・プリンタ・USB) ネットにつながる家電・複合機・カメラや、拾った/受け取ったUSB。守りが手薄なまま社内ネットに同居している

3. 実例・典型シナリオ

  • 何年も未更新のVPN装置から侵入: テレワーク用のVPN機器に何年も前から知られた弱点が残ったまま。攻撃者がそこを足がかりに社内ネットへ入りこみ、内部を横移動して被害を広げる。
  • 初期パスワードのままの管理画面を乗っ取り: ルーターや監視カメラ、機器の管理画面が 工場出荷時のID/パスワードのまま、しかもインターネットから見える状態。総当たりで簡単に乗っ取られ、踏み台にされる。
  • サポート切れOSの放置: 古い業務端末やサーバがサポート切れOSのまま稼働。新たな弱点が見つかっても修正パッチが出ず、塞ぎようがない“開いたままの穴”になる。
  • 管理コンソールをネットに直結: データベースや管理ツールのコンソールを、社内限定にせずインターネットへ直結。世界中からアクセスでき、弱い設定を突かれて中身を抜かれる。

4. 対策

🟢 基礎(全員がやること)

  1. 更新のお知らせを放置しない — 家庭・職場のルーター、スマホ、パソコン、ネットにつながる家電などの「アップデートがあります」を後回しにしない。更新=穴をふさぐ作業
  2. 買ったら初期パスワードを必ず変える — 機器やサービスの 工場出荷時のID/パスワード は世界中で共通。最初に必ず自分だけの強いものに変える。
  3. 使わない機器は電源を切る/ネットから外す — 動いていない機器・古い機器をつなぎっぱなしにしない。つながっていなければ狙われない
  4. 見覚えのない機器・USBをむやみにつながない — もらった/拾ったUSBや、誰のものか分からない機器を社内ネットや自分のPCに挿さない。
  5. 「これ誰が管理してる?」を放置しない — 古いサーバや機器で管理担当が分からないものを見つけたら、運用担当に知らせる。忘れられた土台が穴になる。

※ パッチの当て方・ポートの閉じ方など 具体的な設定は、つくる人・運用する人が🔧で対応 します。基礎は「新しく保つ・余計なものをつながない・気づいたら知らせる」で十分です。

🔧 応用(エンジニア・運用)

  1. パッチ管理を仕組み化 — どの資産にどのパッチが必要かを把握し、適用SLA(いつまでに当てるか) を定義。緊急の重大脆弱性は通常サイクルを待たず 緊急パッチ手順 で即時適用する。
  2. 設定ハードニングCIS Benchmarks などの基準に沿ってOS・ミドルウェア・機器を堅牢化。初期パスワード・既定の弱い設定を全廃し、設定をコード化して逸脱を検知。
  3. 最小化(攻撃面を減らす)不要なサービスの停止・不要ポートの閉鎖。動かす機能・開ける入口は「必要な分だけ」に絞る。
  4. ネットワーク分離・セグメンテーション — IoT機器・公開サーバ・社内端末・管理系を 別セグメントに分け、侵入されても横移動できないようにする。管理画面は決してインターネットに直結しない。
  5. 脆弱性スキャンと資産管理 — 定期的に脆弱性スキャンを実施し、何がどこで動いているか(資産インベントリ) を常に最新化。把握していない資産は守れない。
  6. EOL機器の計画的更改 — サポート終了日を一覧化し、期限前に計画的に置き換え。延命が避けられない場合は分離・監視で隔離する。
  7. ファームウェア更新 — ルーター・VPN・複合機・IoT機器の ファーム(機器内のソフト) も対象に含め、更新フローに組み込む。境界機器は最優先。
  8. インターネット公開資産の棚卸し — 外部に公開しているIP・ポート・サービスを定期的に洗い出し(外部アタックサーフェス管理)、意図せず公開されたものを閉じる。

5. 解説動画(実在確認済み)

インフラ専用のIPA公式動画は確証が取れないため、特定動画は埋め込みません。代わりに、IPA(情報処理推進機構)の公式ページから関連する映像教材・最新の脅威情報を確認してください(パッチ管理・脆弱性対策は下記教材群でも扱われています)。

6. チェックリスト

🟢 全員

  • ルーター・PC・スマホ・ネット家電の「更新のお知らせ」を放置していない
  • 機器やサービスは買ったら初期パスワードを変えている
  • 使わない機器は電源を切る/ネットから外している
  • 出どころ不明のUSB・機器を社内ネットや自分のPCに挿さない
  • 管理担当が分からない古い機器・サーバを見つけたら運用担当に知らせる

🔧 エンジニア・運用

  • パッチ管理に適用SLAと緊急パッチ手順がある
  • CIS Benchmarks等に沿った設定ハードニングを実施し、初期/既定の弱い設定を全廃した
  • 不要サービス停止・不要ポート閉鎖で攻撃面を最小化した
  • IoT・公開サーバ・管理系をネットワーク分離し、管理画面を公開していない
  • 脆弱性スキャンと資産インベントリを定期更新している
  • EOL機器/OSの一覧があり、計画的に更改している
  • ルーター/VPN/複合機等のファームウェア更新を運用に組み込んでいる
  • インターネット公開資産(IP/ポート/サービス)を定期的に棚卸ししている

7. 関連ジャンル・出典

関連ジャンル

出典(一次情報)

  • IPA(情報処理推進機構) — 映像で知る情報セキュリティ情報セキュリティ10大脅威
  • JPCERT/CC — 脆弱性・VPN機器等への攻撃に関する注意喚起
  • NIST — Cybersecurity Framework(CSF)/脆弱性・パッチ管理のガイドライン
  • CIS Benchmarks — OS・ミドルウェア・機器の設定ハードニング基準

合わせて読む