インフラ(OS・ミドルウェア・機器)系の攻撃と対策
攻撃視点の分類 → セキュリティ脅威マップ / レイヤーB「端末・ネットワーク・基盤を侵す」
ここでいう インフラ=サービスを動かす土台(サーバー・ネットワーク機器・OSなどの基盤ソフト)。家でいえば、目立つ玄関ドアではなく、水道管・配線・基礎のような「ふだん見ない部分」。その土台のソフトを 古いまま放置した“すきま”(=すでに世界中に知られている弱点) を突かれて、中に入りこまれる。フィッシングのように派手ではないぶん気づきにくく、いったん土台を取られると被害が一気に大きくなる。攻撃者は「新しい賢い手口」より、直し忘れた古い穴を好んで狙う。
このページの読み方 — 🟢 は全員が知っておく基礎、🔧 はエンジニア・運用担当者向けの実装/設定。まず🟢を全員で、🔧は技術担当が押さえる。
1. このジャンルの攻撃とは
OS(WindowsやLinuxなどの基本ソフト)、ミドルウェア(Apacheやnginxなどサービスを動かす中間のソフト)、VPN・ルーター・ファイアウォールといった 機器、さらにIoT機器やプリンタ・USBなどの ハードウェア ——これら「土台」の、
- 直し忘れ(未更新の既知の弱点) を突いて侵入する
- 設定のうっかり(初期パスワードのまま・余計な入口が開いたまま・管理画面を世界に公開) を悪用する
- サポートが終わった古い機器/OS をそのまま使い続けているのを狙う
ことが目的。共通点は 「だます」のではなく「直っていない弱点・開きっぱなしの入口」を突く こと。だから守り方も共通で、“新しく保つ・閉じる・分ける” の3つに集約される。
2. 主な手口
| 手口 | しくみ(なぜ入られるか) |
|---|---|
| 未パッチの既知脆弱性 | OSやApache/nginx等のミドルウェアに見つかった弱点が、修正プログラム(パッチ)を当てないまま残っている。弱点は公開情報なので、攻撃ツールも出回っている |
| 誤設定(初期/デフォルトパスワード) | 機器やソフトを買った/入れたときの 初期パスワードのまま。世界中で同じなので、まず試される |
| 誤設定(不要ポート開放) | 使っていない通信の入口(ポート)が開きっぱなし。入口が多いほど狙われる面が広い |
| 誤設定(管理画面の公開) | 本来は社内からだけ触る管理画面を、インターネットに直結してしまう。総当たりや既知の弱点で乗っ取られる |
| VPN/ルーター/ファイアウォール機器の脆弱性 | “守るための機器”自身に弱点があると、守りの最前線が逆に入口になる。境界の機器は狙われやすい |
| EOL(サポート切れ)機器/OSの放置 | メーカーの サポートが終わり、もう修正パッチが出ない製品を使い続ける。新しい弱点が見つかっても永遠に塞がらない |
| 公開サーバの管理放置 | 誰も見ていない公開サーバが放置され、更新も監視もされない。忘れられた資産が穴になる |
| ハードウェア面(IoT機器・プリンタ・USB) | ネットにつながる家電・複合機・カメラや、拾った/受け取ったUSB。守りが手薄なまま社内ネットに同居している |
3. 実例・典型シナリオ
- 何年も未更新のVPN装置から侵入: テレワーク用のVPN機器に何年も前から知られた弱点が残ったまま。攻撃者がそこを足がかりに社内ネットへ入りこみ、内部を横移動して被害を広げる。
- 初期パスワードのままの管理画面を乗っ取り: ルーターや監視カメラ、機器の管理画面が 工場出荷時のID/パスワードのまま、しかもインターネットから見える状態。総当たりで簡単に乗っ取られ、踏み台にされる。
- サポート切れOSの放置: 古い業務端末やサーバがサポート切れOSのまま稼働。新たな弱点が見つかっても修正パッチが出ず、塞ぎようがない“開いたままの穴”になる。
- 管理コンソールをネットに直結: データベースや管理ツールのコンソールを、社内限定にせずインターネットへ直結。世界中からアクセスでき、弱い設定を突かれて中身を抜かれる。
4. 対策
🟢 基礎(全員がやること)
- 更新のお知らせを放置しない — 家庭・職場のルーター、スマホ、パソコン、ネットにつながる家電などの「アップデートがあります」を後回しにしない。更新=穴をふさぐ作業。
- 買ったら初期パスワードを必ず変える — 機器やサービスの 工場出荷時のID/パスワード は世界中で共通。最初に必ず自分だけの強いものに変える。
- 使わない機器は電源を切る/ネットから外す — 動いていない機器・古い機器をつなぎっぱなしにしない。つながっていなければ狙われない。
- 見覚えのない機器・USBをむやみにつながない — もらった/拾ったUSBや、誰のものか分からない機器を社内ネットや自分のPCに挿さない。
- 「これ誰が管理してる?」を放置しない — 古いサーバや機器で管理担当が分からないものを見つけたら、運用担当に知らせる。忘れられた土台が穴になる。
※ パッチの当て方・ポートの閉じ方など 具体的な設定は、つくる人・運用する人が🔧で対応 します。基礎は「新しく保つ・余計なものをつながない・気づいたら知らせる」で十分です。
🔧 応用(エンジニア・運用)
- パッチ管理を仕組み化 — どの資産にどのパッチが必要かを把握し、適用SLA(いつまでに当てるか) を定義。緊急の重大脆弱性は通常サイクルを待たず 緊急パッチ手順 で即時適用する。
- 設定ハードニング — CIS Benchmarks などの基準に沿ってOS・ミドルウェア・機器を堅牢化。初期パスワード・既定の弱い設定を全廃し、設定をコード化して逸脱を検知。
- 最小化(攻撃面を減らす) — 不要なサービスの停止・不要ポートの閉鎖。動かす機能・開ける入口は「必要な分だけ」に絞る。
- ネットワーク分離・セグメンテーション — IoT機器・公開サーバ・社内端末・管理系を 別セグメントに分け、侵入されても横移動できないようにする。管理画面は決してインターネットに直結しない。
- 脆弱性スキャンと資産管理 — 定期的に脆弱性スキャンを実施し、何がどこで動いているか(資産インベントリ) を常に最新化。把握していない資産は守れない。
- EOL機器の計画的更改 — サポート終了日を一覧化し、期限前に計画的に置き換え。延命が避けられない場合は分離・監視で隔離する。
- ファームウェア更新 — ルーター・VPN・複合機・IoT機器の ファーム(機器内のソフト) も対象に含め、更新フローに組み込む。境界機器は最優先。
- インターネット公開資産の棚卸し — 外部に公開しているIP・ポート・サービスを定期的に洗い出し(外部アタックサーフェス管理)、意図せず公開されたものを閉じる。
5. 解説動画(実在確認済み)
インフラ専用のIPA公式動画は確証が取れないため、特定動画は埋め込みません。代わりに、IPA(情報処理推進機構)の公式ページから関連する映像教材・最新の脅威情報を確認してください(パッチ管理・脆弱性対策は下記教材群でも扱われています)。
- IPA「映像で知る情報セキュリティ(映像コンテンツ一覧)」 — https://www.ipa.go.jp/security/videos/index.html
- IPA「情報セキュリティ10大脅威」 — https://www.ipa.go.jp/security/10threats/
6. チェックリスト
🟢 全員
- ルーター・PC・スマホ・ネット家電の「更新のお知らせ」を放置していない
- 機器やサービスは買ったら初期パスワードを変えている
- 使わない機器は電源を切る/ネットから外している
- 出どころ不明のUSB・機器を社内ネットや自分のPCに挿さない
- 管理担当が分からない古い機器・サーバを見つけたら運用担当に知らせる
🔧 エンジニア・運用
- パッチ管理に適用SLAと緊急パッチ手順がある
- CIS Benchmarks等に沿った設定ハードニングを実施し、初期/既定の弱い設定を全廃した
- 不要サービス停止・不要ポート閉鎖で攻撃面を最小化した
- IoT・公開サーバ・管理系をネットワーク分離し、管理画面を公開していない
- 脆弱性スキャンと資産インベントリを定期更新している
- EOL機器/OSの一覧があり、計画的に更改している
- ルーター/VPN/複合機等のファームウェア更新を運用に組み込んでいる
- インターネット公開資産(IP/ポート/サービス)を定期的に棚卸ししている
7. 関連ジャンル・出典
関連ジャンル
- セキュリティ脅威マップ(分類ハブ)
- マルウェア系 — インフラの穴から侵入された後の感染・ランサムウェア
- クラウド設定・鍵管理系 — クラウド側の公開設定ミス・鍵の置き忘れ
- DNS・ドメイン系 — インターネットの「住所録」を悪用する攻撃
出典(一次情報)
- IPA(情報処理推進機構) — 映像で知る情報セキュリティ、情報セキュリティ10大脅威
- JPCERT/CC — 脆弱性・VPN機器等への攻撃に関する注意喚起
- NIST — Cybersecurity Framework(CSF)/脆弱性・パッチ管理のガイドライン
- CIS Benchmarks — OS・ミドルウェア・機器の設定ハードニング基準