IT用語集
多要素認証(MFA)とは? その重要性や3つの認証要素について解説
踏み台攻撃とは? わかりやすく10分で解説
目次
踏み台攻撃は、攻撃者が第三者の端末、サーバー、ネットワーク機器などを中継点として悪用し、別の標的へ攻撃する手法です。攻撃を受ける側だけでなく、踏み台にされた側にも、調査対応、信用低下、通信遮断、取引先への説明といった負担が発生します。対策では、侵入経路を減らすだけでなく、侵入後に外部攻撃の中継点として使わせない設計と監視が必要になります。
踏み台攻撃とは
第三者の端末やサーバーを中継点にする攻撃
踏み台攻撃とは、攻撃者が自分の端末から直接攻撃するのではなく、乗っ取った第三者の端末、サーバー、ルーター、IoT機器などを経由して攻撃する手法です。攻撃の通信元が踏み台側に見えるため、標的側のログだけでは真の攻撃者を特定しにくくなります。
踏み台として使われる機器は、外部への不正ログイン試行、脆弱性スキャン、スパム送信、フィッシングメール送信、DDoS攻撃、別組織への侵入の中継点などに悪用されます。踏み台にされた側は「攻撃された被害者」であると同時に、外部からは「攻撃通信の発信元」に見える点が問題です。
踏み台化が起きやすい対象
踏み台化されやすい対象は、攻撃者が継続的に操作でき、外部へ通信できる機器です。企業の公開サーバー、VPN機器、リモート管理サービス、クラウド上のインスタンス、家庭用ルーター、IoT機器、感染したPCなどが該当します。
特に、初期パスワードのまま使われている機器、更新されていない機器、管理画面をインターネットへ公開している機器、不要なポートが開いたままの機器は狙われやすくなります。攻撃者は、こうした機器を侵害し、攻撃の中継点や長期的な侵入拠点として利用します。
踏み台攻撃で起こる二重の被害
踏み台攻撃では、攻撃を受ける標的と、踏み台として悪用される第三者の双方に被害が発生します。標的側では、不正ログイン、サービス停止、情報窃取などが起こります。踏み台側では、通信遮断、IPアドレスのブロック、外部からの苦情、取引先への説明、ログ調査、再発防止策の提示などが必要になる場合があります。
踏み台にされた側は、自分が攻撃を受けていることに気づきにくい傾向があります。通常業務に見える通信の裏で、端末やサーバーが外部攻撃に使われている場合があるため、外向き通信、認証ログ、管理操作、未知のプロセスを継続的に確認する体制が必要です。
踏み台攻撃が成立する主な経路
IDとパスワードの奪取
IDとパスワードの奪取は、踏み台化の代表的な経路です。攻撃者はフィッシング詐欺、パスワードリスト攻撃、パスワードスプレーなどによって認証情報を入手し、正規ユーザーを装ってシステムへログインします。
正規アカウントを使ったアクセスは、単純な不正通信より検知しにくい場合があります。深夜帯のログイン、普段と異なる国・地域からのアクセス、短時間のログイン失敗増加、権限変更、新規アカウント作成、通常業務では発生しない外部通信などを確認対象にする必要があります。
認証情報を悪用されると、踏み台化だけでなく、内部システムへの横展開にもつながります。共有アカウントを減らし、退職者・異動者のアカウントを速やかに無効化し、管理者権限を最小限に絞ることが前提になります。さらに、多要素認証を組み合わせることで、パスワード単体の流出による侵入リスクを下げられます。
マルウェア感染
マルウェア感染も、踏み台化の主要な経路です。攻撃者は、メール添付ファイル、不正なダウンロード、脆弱なWebサイト、偽の更新プログラムなどを通じて端末にマルウェアを感染させます。感染後は、遠隔操作、追加マルウェアの投入、認証情報の窃取、外部への攻撃通信などが行われます。
トロイの木馬やバックドアは、攻撃者が端末を継続的に操作するために使われます。端末が外部の指令サーバーと通信し、追加機能を受け取ったり、外部へのスキャンや不正アクセスを実行したりする場合があります。
利用者側では、端末が遅くなる、ネットワーク通信が増える、未知のプロセスが動く、セキュリティ警告が増えるといった兆候が出る場合があります。ただし、目立たないように動作するマルウェアもあるため、利用者の体感だけに頼るのは不十分です。企業では、EDR、ログ監視、端末隔離、管理者権限の制限を組み合わせて検知と封じ込めを行います。
脆弱性の悪用
脆弱性の悪用は、認証情報がなくても侵入を許す場合があります。攻撃者は、更新されていないVPN機器、リモート管理サービス、Webアプリケーション、ネットワーク機器、クラウド設定の不備などを狙い、侵入後に踏み台として利用します。
脆弱性悪用では、侵入後に権限昇格、ログの削除、内部偵察、別の端末への横展開、外部への攻撃通信が行われる可能性があります。公開範囲の棚卸し、不要サービスの停止、迅速なパッチ適用、管理画面の非公開化、アクセス元制限、WAFやIDS/IPSの活用が対策の中心になります。
ルーターやIoT機器の設定不備
家庭用ルーター、IoTルーター、ネットワークカメラ、NASなども踏み台化される可能性があります。初期パスワード、古いファームウェア、外部公開された管理画面、不要なリモート管理機能が残っていると、攻撃者に乗っ取られやすくなります。
こうした機器は、利用者が管理状態を把握しにくく、更新も後回しになりがちです。攻撃者にとっては、長く使える中継点になり得ます。家庭でも企業でも、機器の管理画面を外部公開しない、初期パスワードを変更する、更新を適用する、不要な機能を停止する、古い機器を更新または廃棄する、といった基本管理が欠かせません。
踏み台攻撃と他のサイバー攻撃の関係
踏み台攻撃は単独の攻撃名だけでなく攻撃基盤でもある
踏み台攻撃は、単独で完結する攻撃というより、他のサイバー攻撃を実行するための中継基盤として使われることが多い手法です。攻撃者は、乗っ取った機器を使い、標的への不正ログイン、脆弱性スキャン、DDoS攻撃、スパム送信、フィッシングメール送信などを行います。
そのため、踏み台対策は個別の攻撃対策と切り離して考えるべきではありません。認証、脆弱性管理、マルウェア対策、外部通信制御、ログ監視、インシデント対応を組み合わせることで、踏み台化の成立と悪用の両方を抑えます。
DDoS攻撃との関係
DDoS攻撃では、多数の端末やサーバーが攻撃通信の発信元として使われます。これらの端末が攻撃者に管理されると、ボットネットとして標的に大量通信を送り、Webサイト、DNSサーバー、業務システムなどに負荷をかけます。
踏み台にされた機器がDDoS攻撃に使われると、標的側にはその機器から攻撃通信が届いたように見えます。踏み台側では、回線帯域の消費、外部サービスからの遮断、プロバイダや取引先からの問い合わせ、ログ調査などの対応が発生する可能性があります。
フィッシングやランサムウェアとの関係
踏み台化は、フィッシング詐欺やランサムウェアとも関係します。フィッシングで認証情報を奪い、VPNやクラウドサービスへ不正ログインし、そこから社内システムへ横展開する流れは代表例です。
ランサムウェア攻撃でも、侵入後に別の端末やサーバーを経由して探索し、権限を拡大し、データを持ち出す場合があります。踏み台化は、攻撃者の移動経路を増やし、調査対象を広げます。初動対応では、感染端末だけでなく、踏み台として使われた可能性のある端末や認証情報まで確認する必要があります。
踏み台攻撃の影響とリスク
個人への影響
個人のPCや家庭用ルーターが踏み台にされると、外部への不正通信、端末性能の低下、回線速度の低下、未知のプログラム実行、個人情報の窃取などが起こる可能性があります。さらに、特定サービスからIPアドレスがブロックされ、普段使っているサービスへ接続しにくくなる場合もあります。
身に覚えのない警告メール、プロバイダからの照会、セキュリティソフトの検知、ルーターの不審なログイン履歴は、踏み台化を疑う材料になります。個人でも、OSとアプリの更新、ルーターのファームウェア更新、初期パスワードの変更、不要なリモート管理機能の停止を行う必要があります。
企業や組織への影響
企業や組織が踏み台にされると、外部への攻撃通信だけでなく、内部侵害の拡大、情報漏えい、業務停止、外部サービスからの遮断、信用低下、取引先への説明対応が発生する可能性があります。踏み台化の時点で、何らかの侵入や不正操作が成立しているため、影響範囲の確認が必要です。
特に、公開サーバー、VPN機器、クラウド環境、管理者端末が踏み台にされた場合は、被害が広がりやすくなります。ログの保全、侵害範囲の特定、認証情報の失効、端末隔離、外部通信の遮断、関係先への連絡を速やかに進められるよう、インシデント対応手順を事前に整備しておく必要があります。
社会全体への影響
踏み台攻撃は、一組織の問題にとどまりません。踏み台化した機器が増えると、DDoS攻撃、フィッシングメール送信、脆弱性スキャン、別組織への侵入などに使われる中継点が増えます。結果として、重要インフラ、行政機関、金融機関、医療機関、教育機関などへの攻撃を助長する場合があります。
各組織が自分たちの機器を踏み台化させないことは、自組織の防御だけでなく、外部への攻撃加担を防ぐ意味も持ちます。公開機器の管理、認証強化、外部通信制御、ログ監視は、社会的な被害連鎖を断つための基本管理でもあります。
踏み台攻撃への対策
侵入経路を減らす
踏み台攻撃への最初の対策は、侵入される可能性のある経路を減らすことです。OS、アプリケーション、ファームウェア、VPN機器、ルーター、Webアプリケーションを更新し、既知の脆弱性を放置しない状態を維持します。
- 外部公開しているサーバー、管理画面、ポート、クラウドサービスを棚卸しする
- 不要なサービス、不要なポート、不要なリモート管理機能を停止する
- VPN機器、ルーター、ファイアウォール、NASなどの更新状況を確認する
- 管理画面をインターネットへ直接公開しない
- サポート終了機器は更新または廃棄を検討する
認証情報の悪用を抑える
認証情報の悪用を抑えるには、パスワード管理だけでなく、認証方式と権限管理を見直す必要があります。推測されにくいパスワードを設定し、使い回しを避け、管理者アカウントと一般アカウントを分けます。
- 管理者アカウントに多要素認証を適用する
- 退職者・異動者のアカウントを速やかに無効化する
- 共有アカウントを減らし、操作主体を追跡できるようにする
- 最小権限の原則に沿って、不要な権限を外す
- 不審なログイン、ログイン失敗増加、権限変更を監視する
外部への不正通信を制御する
踏み台化を防ぐには、侵入を防ぐだけでは足りません。侵入された場合でも、外部への攻撃通信を出させない設計が必要です。すべての端末やサーバーが任意の宛先へ自由に通信できる状態では、踏み台として悪用されやすくなります。
- サーバーや端末から外部へ出られる宛先・ポートを必要最小限にする
- プロキシ、DNSログ、ファイアウォールログを取得する
- 短時間の大量通信、未知の国・地域への通信、通常業務にない通信を検知する
- C2通信や不審な名前解決を監視する
- 感染端末を隔離できる手順を決めておく
検知と封じ込めの仕組みを整える
踏み台攻撃は、侵入後に気づけるかどうかで被害範囲が変わります。EDR、SIEM、IDS/IPS、ファイアウォール、プロキシ、DNSログを組み合わせ、端末・認証・通信の異常を相関して確認します。
- EDRで不審プロセス、持続化、権限昇格、外部通信を確認する
- SIEMで認証ログ、通信ログ、端末ログを相関する
- IDSやIPSで不審な通信や攻撃パターンを検知・遮断する
- ファイアウォールで不要な通信を制限する
- インシデント発生時の連絡先、判断者、遮断手順、ログ保全手順を決めておく
利用者教育だけに依存しない
フィッシングメールや不正サイトを見分ける教育は必要ですが、利用者の注意だけで踏み台化を防ぐのは不十分です。誤って開く、認証情報を入力する、添付ファイルを実行する、といった事態は起こり得る前提で設計します。
添付ファイルの実行制御、メール検疫、ブラウザ保護、管理者権限の最小化、アプリケーション制御、端末隔離、ログ監視を組み合わせることで、利用者の誤操作が直ちに踏み台化へつながる状態を避けられます。
踏み台攻撃に気づくための確認ポイント
認証ログ
認証ログでは、普段と異なるログインを確認します。深夜帯のログイン、海外IPアドレスからのアクセス、短時間のログイン失敗、存在しないユーザー名への試行、管理者権限の使用、新規アカウント作成は確認対象です。
外向き通信
外向き通信では、通常業務にない宛先、短時間の大量通信、未知の国・地域への通信、異常なDNS問い合わせ、普段使わないポートへの通信を確認します。端末やサーバーが踏み台として使われている場合、外部へのスキャンや攻撃通信が増えることがあります。
端末とサーバーの挙動
端末とサーバーでは、未知のプロセス、予定外のサービス起動、権限昇格、設定変更、ログ削除、見慣れないタスク、CPUやネットワーク使用率の急増を確認します。管理者が把握していないプロセスや通信が続く場合は、踏み台化を疑って調査します。
まとめ
踏み台攻撃は、第三者の端末やサーバーを中継点として悪用し、攻撃者の発信元を隠しながら別の標的へ攻撃する手法です。被害は、標的側だけでなく、踏み台にされた側にも及びます。踏み台側では、通信遮断、信用低下、取引先への説明、ログ調査、再発防止策の提示などが発生する場合があります。
対策の中心は、侵入経路を減らすこと、認証情報の悪用を抑えること、外部への不正通信を制御すること、検知と封じ込めの手順を整えることです。公開機器の棚卸し、パッチ適用、管理画面の非公開化、多要素認証、最小権限、EDRやSIEMによる監視を組み合わせることで、踏み台化のリスクを下げられます。
「攻撃されない」だけでなく、「攻撃の中継点として使われない」状態を維持することが、踏み台攻撃対策の要点です。自組織の機器やアカウントが外部攻撃に悪用されないよう、認証、脆弱性、通信、ログ、初動対応を継続的に管理する必要があります。
Q.踏み台攻撃とは何ですか?
A.第三者の端末、サーバー、ネットワーク機器などを中継点として悪用し、別の標的に攻撃を行う手法です。
Q.踏み台攻撃が問題になる理由は何ですか?
A.攻撃通信の発信元が踏み台側に見えるため、真の攻撃者を追跡しにくく、踏み台にされた側にも調査や説明の負担が生じるためです。
Q.個人のPCや家庭用ルーターも踏み台にされますか?
A.はい。更新不足、初期パスワード、外部公開された管理画面、不要なリモート管理機能があると、踏み台として悪用される可能性があります。
Q.IDとパスワードの奪取が踏み台化につながるのはなぜですか?
A.攻撃者が正規ユーザーを装ってログインし、外部攻撃、内部探索、別システムへの横展開に使える状態になるためです。
Q.マルウェア感染が踏み台化につながるのはなぜですか?
A.感染端末が遠隔操作され、外部への攻撃通信、スキャン、スパム送信、追加侵害の中継点として使われる可能性があるためです。
Q.脆弱性悪用による踏み台化で注意すべき対象は何ですか?
A.VPN機器、ルーター、リモート管理サービス、Webアプリケーション、クラウド環境など、外部から到達できる機器やサービスです。
Q.多要素認証は踏み台対策になりますか?
A.はい。パスワードが漏えいしても認証を突破されにくくなるため、認証情報の悪用による踏み台化を抑える対策になります。
Q.踏み台にされたことに気づく兆候はありますか?
A.外向き通信の急増、深夜帯の不審ログイン、未知のプロセス、管理者権限の不審な使用、外部からの苦情や遮断通知などが兆候になります。
Q.企業が優先すべき踏み台対策は何ですか?
A.公開機器の棚卸し、パッチ適用、管理画面の非公開化、多要素認証、最小権限、外部通信制御、ログ監視を優先します。
Q.踏み台攻撃を完全に防げますか?
A.完全な防止は困難です。侵入経路を減らし、侵入後の悪用を制限し、早期に検知して隔離する多層的な管理が必要です。
ピックアップ Pick up
-
インタビュー顧客ごとに最適なSASEを見極め、提供するリコージャパンの取り組み ― Soliton OneGateの認証を組み合わせ、更に安心して使える環境に ―
-
インタビュー情報資産の確実な保全に向けて ― バッファロー、ソリトン、パトライトの3メーカーで取り組む、危機を「見える」「聞こえる」形で捉えるソリューション ―
-
インタビューBUFFALO「AirStation Pro」のセキュリティはなぜ強固?JC-STARとデジタル証明書認証
-
インタビューFNETSが描く次世代セキュリティ像「セキュアアクセス+」とは?その認証で果たすソリトンの役割
-
インタビュー消防DXで命を守るNEC、 その信頼を支えるソリトンセキュリティ
-
インタビュー手軽で高機能な無線ネットワーク「Cisco Meraki」と認証で果たすSoliton OneGateの役割
タグ Tag
金融
流通・小売
医療
エネルギー
運輸
サービス
情報通信
中央省庁・独法
自治体・地方公共団体
教育・文教
認証
エンドポイント
ネットワーク
ゼロトラスト
販売店インタビュー
メーカーインタビュー
セミナーレポート
展示会・フェアレポート
サイバーセキュリティ
リモートアクセス
テレワーク
社内LAN
無線LAN
プロダクト検証
サプリカント設定
技術解説記事
調査報告
Windows
iOS
macOS
Android
ChromeOS
DHCP/DNS
Soliton OneGate
NetAttest EPS
NetAttest D3
SmartOn ID
InfoTrace 360
Soliton SecureBrowser
Soliton SecureDesktop
WrappingBox
FileZen S
VVAULT
コラム
調査レポート目次
Soliton SecureWorkspace
HiQZen
外部リンク
VVAULT AUDIT
サイバー攻撃
SASE
