CISAがサポート 終了 済みのルーターやファイアウォールを排除する指令

セキュリティニュース

投稿日時: 更新日時:

CISAがサポート 終了 済みのルーターやファイアウォールを排除する指令

米国土安全保障省(DHS)傘下のCISA(Cybersecurity and Infrastructure Security Agency)は2026年2月5日、「サポート終了(End of Support:EOS)のエッジ機器」に起因するリスクを低減するための拘束力ある運用指令(Binding Operational Directive:BOD)BOD 26-02を発出しました。

対象は米連邦政府(FCEB:Federal Civilian Executive Branch)機関の情報システムで、インターネットに面した境界領域に置かれたルーター、ファイアウォール、VPN装置など、ベンダーが更新提供を停止した機器の是正を求めます。

理由

CISAは、サポートが切れた境界機器が、脆弱性修正やセキュリティ更新を受けられないことで攻撃者の格好の標的となり、組織ネットワークへの侵入・横展開の入口になっている点を強調しています。エッジ機器は外部公開されやすく、認証基盤など重要システムと密接に連携することも多いため、侵害時の影響が大きいとされています。

指令の要点:対象は「EOS」かつ「インターネット境界」にある機器

BOD 26-02が対象とするのは、

(1)ネットワーク境界にあり公衆インターネットから到達可能なエッジ機器(VPN,ルーター,ファイアウォールなど)で

(2)ベンダー(またはCISA)がEOSとみなす製品・バージョン、

(3)FCEB機関のシステム上に存在するもの

です。
なお本文では「EOS機器は本来、境界だけでなく連邦ネットワークのどこにも置かれるべきではない」という趣旨も示されています。

日本でも「境界機器」が侵入起点になり得る大規模事案が発生しています

CISAがBOD 26-02で問題視するのは、インターネットに面したVPN装置やルーター、FWなどのエッジ機器が入口になり、内部に横展開される点です。日本でも2023年以降、この構図と重なる大規模インシデントが複数確認されています。特に、保守切れ(EOS)やパッチ未適用の機器はベンダー修正が届かない、または運用上アップデートできず放置されやすく、侵入リスクを一段と高めます。

岡山県精神科医療センター

日本の医療機関でも、保守用SSL-VPN装置の運用不備や更新遅れが大規模インシデントにつながった例があります。地方独立行政法人 岡山県精神科医療センター では、2024年5月19日にランサムウェア攻撃を受け、電子カルテを含む病院情報システムが停止し、紙カルテ運用への切り替えを余儀なくされました。

調査報告書の内容として、侵入口と想定される保守用SSL-VPN装置で簡易的なID/パスワード(例:administrator/P@ssw0rd)の使い回しがあり、さらに院内Windows端末の管理者パスワードも同一であった点、VPN装置が設置後に脆弱性修正が十分行われていなかった点、ログ保存容量が小さく侵入元IPなどの追跡が困難だった点などが問題として挙げられています。結果として、患者情報は最大約4万人分が漏えいした可能性が公表され、復旧にも長期間を要しました。こうした事例は、CISAがBOD 26-02で指摘する「EOS(保守終了)エッジ機器が、組織ネットワークへの突破口になり得る」というリスクを、日本でも裏付けるケースと言えます。

関連:岡山県精神科医療センターの個人情報漏洩は「人災」 ランサムウェアによるサイバー攻撃の調査報告書を発表

名古屋港運協会-VPNへのパッチ未適用(名古屋港統一ターミナルシステム「NUTS」停止、2023年7月)

2023年7月、名古屋港の複数ターミナルと集中管理ゲートで運用される名古屋港統一ターミナルシステム(NUTS)がランサムウェア感染で停止し、荷役遅延やコンテナ搬出入への影響が発生しました。国土交通省側の資料では、感染経路として「指定ユーザのみ利用可能な仮想専用線たる保守用VPN機器からの侵入」とされています。

さらに保守用 VPN には緊急時に即時に対応するため IP アドレスに制限をかけておらず、ID とパスワードさえ合致すればインターネット上で誰からで
もアクセス可能な状態にあったこと、VPN 機器及び物理サーバに関して数か月前から脆弱性が公表されていたものの、これら脆弱性への対応が未対応であったことが確認されており、一般的な脆弱性対応と接続制限を行っていれば防げた事例となります。