境界に置くエッジ機器の脆弱性が侵入口として狙われる理由
対象の目安: 情報システム・ネットワーク運用担当 / 実務

ネットワークの境界に置くVPN機器やファイアウォールは、外部と内部の通信を取り次ぐために存在します。だからこそ、その機器の脆弱性が突かれると、攻撃者は組織の入口をそのまま手に入れます。IPAは「情報セキュリティ10大脅威 2026」(2026年1月29日公開)で、システムの脆弱性を悪用した攻撃を組織編の4位に、サプライチェーンや委託先を狙った攻撃を2位に挙げています。境界のエッジ機器は、この二つの脅威が交わる場所に位置します。
本記事は、ネットワークや情報システムの運用担当に向けて、なぜ境界の機器が狙われるのか、攻撃者がどう悪用するのか、取引先の機器がどう踏み台になるのか、そして運用側で何から手を付けるのかを、一次情報をもとに整理します。
なぜ境界のエッジ機器が侵入口として狙われるのか
境界のエッジ機器が狙われる理由は、その役割そのものにあります。VPN機器やファイアウォール、ルーターは、組織のネットワーク境界に置かれてインターネットからの通信を受け付けます。外部から到達できる位置にあるため、攻撃者は世界中のどこからでも探索でき、機器に脆弱性があれば攻撃の起点にできます。
加えて、これらの機器の多くは認証を担います。VPN機器は社外からの接続を受けて利用者を認証し、内部ネットワークへの通路を開く役目を持ちます。その認証部分や管理機能に脆弱性があると、攻撃者は正規の認証を回り込んで内部への通路を開けてしまいます。CISAとFBI、英国NCSCが2026年2月5日に公表したファクトシートは、エッジ機器を「組織のネットワークの境界に位置し、インターネットや外部環境から到達できる技術」と定義したうえで、国家関与の攻撃者がこうした機器を足がかりに、現用の保護された環境へ侵入すると述べています。
機器がインターネットに面し、認証を担い、内部への入口になるという三つの性質が重なるため、ひとつの脆弱性が組織全体への入口になりえます。これが、境界のエッジ機器が侵入口として優先的に狙われる機構です。
攻撃者が公開機器を探索して内部へ横展開するまで
攻撃の入口は、攻撃者による探索から始まります。攻撃者はインターネット全体をスキャンし、特定の製品やバージョンを公開している機器を機械的に洗い出します。脆弱性が公開されると、その脆弱性を持つ機器を狙う探索や攻撃が短期間で広がるため、修正が間に合っていない機器が見つかれば標的になります。
次に攻撃者は、見つけた機器の脆弱性を悪用して侵入します。IPAが2025年10月31日に出した注意喚起は、VPN機器等の脆弱性が悪用されている状況を挙げ、具体的な例を示しています。種類はそれぞれ異なります。NetScaler ADCやNetScaler Gatewayの脆弱性(CVE-2025-7775)は、特定の構成でメモリ破壊を起こし、遠隔コード実行やサービス停止につながります。Ivanti Connect SecureやPolicy Secure等の脆弱性(CVE-2025-22457)は、認証を経ない遠隔コード実行を許します。Fortinet FortiOSやFortiProxyの脆弱性(CVE-2024-55591)は、認証を回避して最上位の管理者権限を奪われるものです。影響や前提となる構成は異なりますが、いずれも外部に面した機器を起点に内部への侵入を許す点が共通します。
侵入後、攻撃者は機器に居座る手段を確保し、内部へ移動します。境界の機器は内部ネットワークへの通路を持つため、そこを起点に内部の端末やサーバーへ横展開し、認証情報を集めながら権限を広げます。最終的な目的は攻撃者によって異なり、情報窃取に至る場合もあれば、侵入型ランサムウェアの展開に至る場合もあります。JPCERT/CCの「侵入型ランサムウェア攻撃を受けたら読むFAQ」は、攻撃者がネットワークに侵入して内部で活動を広げ、最終的にランサムウェアを展開する一連の流れを解説しており、境界からの侵入はその起点になりえます。
取引先や委託先の機器が踏み台になる側面
境界のエッジ機器の問題は、自組織だけにとどまりません。乗っ取られた機器は、他組織への攻撃の中継地点として悪用される場合があります。IPAの前述の注意喚起は、脆弱性を悪用されて乗っ取られたVPN機器等が、攻撃者の通信を中継するORB(Operational Relay Box)に仕立てられ、他組織への攻撃の踏み台として利用されるおそれを指摘しています。自社の機器が、知らぬ間に別の組織を攻撃する経路にされるということです。
この踏み台の構図は、取引関係をたどる攻撃にもつながります。IPAが「情報セキュリティ10大脅威 2026」で組織編の2位に挙げた、サプライチェーンや委託先を狙った攻撃では、攻撃者は本来の標的より守りの薄い取引先や委託先を先に侵害し、そこを経由して本命の組織へ近づきます。委託先のVPN機器の脆弱性が侵入口になれば、その委託先と接続している組織まで被害が及ぶ可能性があります。
ここから導かれるのは、自社の機器を守ることと、つながる先の機器の状態に関心を持つことが、いずれも必要だという点です。自社が境界の機器を堅牢にしていても、接続している取引先の機器が侵害されれば、その接続を通じて影響を受けることがあります。委託や接続の契約では、相手側のパッチ適用やサポート状況を確認できるようにしておくことが、現実的な備えになります。関連する考え方は別記事でも整理しています。
あわせて読みたい
サプライチェーン攻撃の構造と防御の考え方。ソフト・ハード・サービス経由の侵入をどう減らすか
運用側の対策
運用側が最初に取り組むのは、何が境界に公開されているかの把握です。CISA等のファクトシートは、ネットワークを能動的にスキャンして文書化されていない古いエッジ機器を洗い出し、すべてのエッジ機器とそのサポート期限を台帳化して定期的に見直すよう求めています。守る対象が分からなければ優先順位もつけられないため、資産の棚卸しが起点になります。
棚卸しのうえで、パッチ適用に優先順位をつけます。すべての脆弱性に同時には対応できないため、実際に悪用されている脆弱性を先に塞ぐ考え方が有効です。CISAのKnown Exploited Vulnerabilities(KEV)カタログは、攻撃者に実際に悪用されている脆弱性を継続的に更新して公開し、組織が修正の優先順位をつけられるようにしたものです。自社のエッジ機器に関係するCVEがKEVに載っていれば、優先して対応する判断材料になります。優先度の付け方の詳細は別記事で扱っています。
あわせて読みたい
脆弱性対応の優先順位付け。CVSSだけに頼らないEPSSとCISA KEVの使い方
サポートが終了した機器は、更新や交換の対象です。CISA等のファクトシートは、サポート切れのエッジ機器を速やかに交換するよう促し、米国の連邦民間機関に対してはBOD 26-02でエッジ機器のライフサイクル管理を義務づけたうえで、対象外の組織にも同じ指針に従うよう強く推奨しています。サポートが切れた機器は新たな脆弱性が修正されないため、攻撃者にとって狙いやすい標的であり続けます。
機器を残す場合でも、攻撃面そのものを小さくできます。IPAの注意喚起は、対策として管理インターフェースを外部に公開しないこと、ASM(攻撃面管理)で公開状況を把握して不審な通信を監視すること、ファイアウォールやネットワークの分離による多層防御を挙げています。管理画面がインターネットから直接見えなければ、その経路を使った攻撃は成立しにくくなります。境界の機器に限らず、内部を信頼しすぎない設計の考え方も参考になります。
あわせて読みたい
ゼロトラストを最小コストで取り入れる。考え方とID中心の段階導入
境界のエッジ機器で確認したいポイント
- 公開しているエッジ機器を棚卸しし、製品名とバージョン、サポート期限を台帳化しているか
- 自社機器に関係する脆弱性がCISA KEVに載っていないか確認し、悪用中のものを優先して対応しているか
- サポート終了(EOS)の機器の更新や交換の計画があるか(EOLとEOSはベンダーで定義が異なるため確認する)
- 管理インターフェースをインターネットに直接公開していないか
- 管理者アクセスに多要素認証を設定しているか
- 機器のログを取得し、不審な通信や認証の失敗を監視しているか
- 取引先や委託先の接続について、相手側のパッチ適用やサポート状況を確認できるようにしているか
認証と監視も忘れずに組み合わせます。機器の管理者アクセスには多要素認証を設定し、認証情報が漏れても直ちに乗っ取られないようにします。あわせて機器のログを取得して監視し、不審なログインや通常と異なる通信に気づける状態にしておきます。境界機器のログは侵入の初期兆候が現れる場所であり、内部への横展開を早期に止める手がかりになります。基盤の堅牢化全般は別記事でも整理しています。
あわせて読みたい
サーバーのハードニング基礎。最小化・最小権限・更新・設定堅牢化をCISベンチマークから学ぶ
最後に、パッチ適用についての注意があります。パッチを当てることは前提ですが、当てれば必ず安全になるとは言い切れません。脆弱性が公開されてから修正するまでの間にすでに侵入され、バックドアなどが仕込まれている場合があるためです。CISA等のファクトシートも、最新のソフトウェアを適用しても、更新時点までに判明した脆弱性に対処できるにとどまると述べています。したがって、修正を適用したら作業を終わりにせず、すでに侵害されていないかをログや機器の状態から確認することが必要です。
本記事のうち、脅威の順位と位置づけはIPA「情報セキュリティ10大脅威 2026」(2026年1月29日公開)、VPN機器の踏み台化(ORB化)と具体的なCVEはIPAの2025年10月31日の注意喚起、サポート切れエッジ機器とBOD 26-02はCISA/FBI/NCSCの2026年2月5日のファクトシート、悪用中の脆弱性の優先対応はCISAのKEVカタログ、侵入型ランサムウェアの流れはJPCERT/CCのFAQにもとづきます。固有名やCVE番号は各出典の表現に沿って記載しています。
境界のエッジ機器は、インターネットに面し、認証を担い、内部への入口になるという役割ゆえに狙われます。守りの基本は、公開しているものを把握し、悪用されている脆弱性から優先して塞ぎ、サポート切れの機器を更新し、管理画面の露出を減らし、認証と監視で裏打ちすることです。そのうえで、パッチ適用後も侵害の有無を確かめ、つながる先の機器の状態にも関心を持つことが、境界からの侵入を防ぐ現実的な道筋になります。
出典・参考
- IPA「情報セキュリティ10大脅威 2026」(2026-01-29)
- IPA 注意喚起「VPN機器等に対するORB(Operational Relay Box)化を伴うネットワーク貫通型攻撃のおそれについて」(2025-10-31)
- CISA/FBI/NCSC Fact Sheet: Reducing the Attack Surface for End-of-Support Edge Devices (2026-02-05)
- FBI/IC3 掲載版 Fact Sheet (End-of-Support Edge Devices, 2026-02-05, PDF)
- CISA Known Exploited Vulnerabilities Catalog
- JPCERT/CC「侵入型ランサムウェア攻撃を受けたら読むFAQ」
関連する記事
脆弱性対応の優先順位付け。CVSSだけに頼らないEPSSとCISA KEVの使い方
毎月大量に出るパッチを全部当てるのは不可能です。実際に悪用されている脆弱性(CISA KEV)と悪用予測スコア(EPSS)、深刻度(CVSS)を組み合わせたリスクベースの優先度付けを、優先度マトリクスと運用ステップ付きで実務担当者向けに解説します。
サプライチェーン攻撃の構造と防御の考え方。ソフト・ハード・サービス経由の侵入をどう減らすか
自社が直接狙われなくても、取引先やライブラリ、サービス経由で侵入されるのがサプライチェーン攻撃です。実例をもとに攻撃の構造を分解し、信頼の前提を見直すための実務的な防御の考え方を解説します。
サーバーのハードニング基礎。最小化・最小権限・更新・設定堅牢化をCISベンチマークから学ぶ
サーバーを攻撃から守る土台となるハードニング(要塞化)の考え方を、最小化・最小権限・継続的な更新・設定の堅牢化という4本柱で整理し、CISベンチマークを使った具体的な進め方と運用までを実務目線で解説します。


