踏み台攻撃とは、攻撃者が不正アクセスなどによってシステムに侵入し、侵入したシステムから別のサーバやアカウントに侵入して攻撃する手法のことです。侵入されるシステムは、攻撃対象にアクセスしやすいサーバなどが狙われます。たとえば、大手メーカーの下請け会社のシステムや無線で接続しているIoT機器などが対象です。

踏み台攻撃で利用されてしまった場合、そのシステムを持つ企業が加害者となり、社会的信頼を失墜してしまうこともあるので対策が必要です。

踏み台攻撃は、以下の流れで行われます。

踏む台攻撃では、攻撃した犯人が特定しにくいことが特徴です。そのため、踏み台攻撃を受けた側は加害者として疑われる可能性が高くなります。

また、踏み台攻撃は外部からの指摘を受けて、自分の企業のサーバが踏み台として利用されたことが判明することがほとんどです。このような場合、セキュリティに脆弱性のある企業が信頼を失うため、十分に対策を講じておく必要があります。

では、何を目的として踏み台を利用して攻撃を仕掛けるのでしょうか。本項目では3つの狙いを紹介します。

攻撃者にとって踏み台攻撃を利用するメリットは、攻撃した自分の情報を隠匿できることです。踏み台攻撃には、踏み台にしたシステムを利用したうえで、さらに別のシステムを踏み台にし、攻撃を仕掛ける手法も存在します。警察でも攻撃者を見抜けず、踏み台にされたシステムの所有者が誤認逮捕されるケースもあるので注意しましょう。

堅牢性の高い大手企業のシステムは、直接攻撃するよりも、踏み台攻撃を利用することで攻撃しやすくなる傾向があります。サプライチェーン攻撃は、中小企業などのセキュリティの脆弱性を利用して、本来ターゲットとしている大手企業に攻撃を仕掛ける手法です。

サプライチェーンとは、商品の企画から販売までのプロセスや商流にかかわる組織のつながりのこと。組織の中には、大手企業に比べてセキュリティ対策が弱い下請けの中小企業のシステムが存在することがあります。

たとえば、2023年11月に公表されたLINEヤフー株式会社の事例は、委託先企業の社員が所有するパソコンが踏み台にされ、30万件を超える情報が漏洩しました。（参考：不正アクセスによる、情報漏えいに関するお知らせとお詫び）

DDoS攻撃を仕掛けるために、踏み台攻撃が利用された事例もあります。DDoS攻撃は分散型サービス妨害攻撃と呼ばれ、攻撃対象のサーバに対して一定時間内に大量のデータ量を流し込み（トラフィック）、サービス停止を図ることです。

サーバや機器が踏み台として機能するようにマルウェアを仕掛け、外部からの遠隔操作によってトラフィックを発生させます。

踏み台攻撃の手口の中には予防できるものもあるため、本項目で紹介する手口を把握しておきましょう。

ゼロデイ攻撃とは、攻撃者が開発ベンダーより先にソフトウェアやアプリの脆弱性を発見し、修正プログラムが公開される前を狙って攻撃する手法です。ゼロデイ攻撃によってマルウェアに感染した場合、そのシステムは踏み台として利用できるようなプログラムが仕掛けられている可能性があります。

ゼロデイ攻撃を完全に防ぐことは難しいため、ゼロデイ攻撃を受けてしまったときの対策を講じることが望ましいでしょう。

フィッシング攻撃とは、メールなどを利用してフィッシングサイトへ誘導し、認証番号などを入力させて個人情報を抜き取る攻撃です。フィッシングして手に入れた情報でシステムやアカウントなどにログインし、ログインしたアカウントやサーバを踏み台として利用します。

フィッシング攻撃を防止するには、従業員へのセキュリティ教育が効果的です。

ID・パスワード攻撃とは、堅牢性の弱いパスワードを狙ってログイン情報を探す攻撃です。総当たりで文字列の組み合わせを試す方法や、パスワードによく利用される単語をリスト化し、単語リストからパスワードを推測する方法があります。

上記の方法で、IDやパスワードが攻撃者に判明されると、その情報を利用してログインしたサーバやアカウントを踏み台として、第三者に攻撃されます。ID・パスワード攻撃を防ぐには、長く・記号などが含まれたパスワードを設定しましょう。

本項目では、踏み台攻撃の被害事例を紹介します。

2024年4月2日、お茶の水女子大学の計算用サーバが、踏み台攻撃として利用されていたことが公表されました。本事例ではテスト用のユーザー名（test）と、ユーザーに設定したパスワードが安易なものであり、特定されやすかったため不正ログインに至っています。

また、学校外からリモート接続ができる状態となっており、セキュリティ対策も講じられていなかったことも原因の一つです。

（参考：お茶の水女子大学研究室サーバへの不正アクセスについて）

2016年10月、アメリカのDNSサービスDyn社が大規模なDDoS攻撃を受けて、X（当時Twitter）やSportifyなどが利用できなくなる事例が発生しました。合計2回の攻撃を受けましたが、2度目の攻撃は1度目よりも広範囲の地域からの攻撃を検知したとのことです。

踏み台にされたシステムは明らかにされていませんが、IoT機器が乗っ取られたものと見られています。

2016年9月、セキュリティジャーナリストのBrian Krebs氏のWebサイトが、665Gbpsの規模のDDoS攻撃を受けました。665Gbpsという攻撃の規模は、Akamai社が提供する世界最大規模のネットワークでも負荷に耐えられず、Webサイトをサーバーから切り離す処置がされたほどです。本事例で踏み台とされたのは、約18万台のIoT機器のファームウェアといわれています。

2016年11月、ロシアで複数の銀行に対してDDoS攻撃を受けた事例が発生しました。踏み台とされたのは、IoT機器の監視カメラやルーターなどが挙げられます。IoTに搭載されているファームウェアが改ざんされ、悪用された事例です。

2016年11月、ドイツテレコム社の設置ルータで、Mirai型ボットネットによるDDoS攻撃の事例がありました。Mirai型ボットネットは、IoT機器に搭載されているファームウェアの脆弱性を利用して仕込まれ、攻撃者からの指示で攻撃できるようにコーディングされたマルウェアです。

本事例は、設置ルータのファームウェアの脆弱性が狙われたものでした。

踏み台攻撃にはどのような対策を取ればよいか、本項目で対策していきます。

攻撃者の追跡体制を構築しましょう。踏み台攻撃は攻撃者の特定が難しく、自分が加害者ではないことが証明できなかったり、証明するまでに時間がかかったりします。あらかじめ追跡できる環境を整え、脅威に備えましょう。

攻撃者を追跡するには、踏み台攻撃を検知するために必要なログを取っておくことが挙げられます。必要なログとはアクセス日時やIPアドレスの記録です。ログの保管期日は1日で削除されるものではなく、90日以上保管しておくように設定しておく必要があります。対策6で紹介している「UTMの導入」することでもログの記録が可能です。

踏み台攻撃を防ぐためには、社員へのサイバーセキュリティ教育も欠かせません。サイバーセキュリティ教育は、以下のような内容が挙げられます。

社員のサイバーセキュリティ対策への意識は、外部からの企業への信頼にもつながるので、定期的に教育する機会を設けましょう。たとえば、セキュリティの教育動画を見た社員のステータスを「閲覧済み」に変更して学習したことがわかるようにしたり、簡単なセキュリティテストを受けさせたりすることも効果的です。

セキュリティ対策ソフトを導入し、サイバー攻撃を検知・排除できる環境を構築しましょう。セキュリティ対策ソフトには、いままで発見されたマルウェアやサイバー攻撃の傾向を検知し、削除する機能が搭載されているものもあります。

ゼロデイ攻撃などの手口も存在するため、すべての攻撃をカバーできるものではありませんが、攻撃の糸口は類似しているものが多いため対策として有効です。

発信元のわからない不審なメールや信頼できないウェブサイトにアクセスしないことも、対策の一つです。これらにアクセスするとフィッシングで情報を抜き取られ、踏み台攻撃に利用される可能性があります。本項目の内容は、対策2で示した「社員へのサイバーセキュリティ教育」でも啓発しておくとよいでしょう。

IDやパスワードを複雑なものに設定し、かつ定期的に変更しましょう。簡単なパスワードを設定すると、総当たり攻撃やリスト型攻撃を受けた際に、比較的時間をかけずに突破されてしまいます。

複雑なパスワードにするには、10桁以上で英大文字・小文字・数字・記号を組み合わせたもので設定しましょう。また、万が一、情報を抜き取られた場合も定期的にパスワードを変更することで、被害を防げる可能性があります。

UTM（Unified Threat Management）の導入は、踏み台攻撃の対策として有効です。UTMとは統合脅威管理と呼ばれ、通信監視やログ把握によって不正アクセスなどの状況を把握できる機器です。2021年のIPAの調査では、UTMを利用している大手企業の実証結果を明らかにしており、さまざまなサイバー攻撃を検知・防御していると公表しています。

（参考：サイバーセキュリティお助け隊事業（令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業）全体報告書（概要版））

踏み台攻撃は、攻撃者によって乗っ取られたサーバやアカウントを利用して、第三者にサイバー攻撃をしかけるものです。サーバやパソコンだけではなく、IoT機器も踏み台として利用される事例が多いため、定期的にプログラムをアップデートする必要があります。

対策としては、UTMの導入や運用によるカバーが有効です。踏み台攻撃によって加害者になることを防ぐため、あらかじめ対策を講じておきましょう。

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです。
無料で相談可能ですので、まずはお気軽にご相談ください。