【事例】VPNの脆弱性とは?注意点と対策チェックリスト
VPNの脆弱性による情報漏えいや不正アクセスは、多くの企業にとって深刻なリスクです。情シス担当者向けに、VPNの種類ごとに主な脆弱性や被害事例を解説し、今すぐ確認すべき対策チェックリストを紹介します。
- 目次
法人向けVPNの脆弱性リスクと対策
VPNは、遠隔地の拠点間に安全な通信経路を容易に確保できる手段として、急速に導入が進みました。
しかし、その「便利さ」の裏には重大なリスクが潜んでいます。VPNの脆弱性に対して十分な対策を講じないまま運用を続けていると、情報漏えい、不正アクセス、事業停止といった重大なリスクを招く恐れがあります。さらにこうしたインシデントは、企業の信頼性や事業継続が危うくなる危険性もあります。
VPNに対する脆弱性対策は、IT担当者のみならず企業全体の経営課題として取り組むべきものといえるでしょう。
VPNの種類と仕組みを理解することで適切な脆弱性対策につながる
VPNは、トンネリング、暗号化、認証などの各種技術を活用し、拠点間を仮想の専用線で接続する技術です。VPNには使用する回線や通信プロトコルにより「IP-VPN」「インターネットVPN」「広域イーサネット」など複数の種類があり、それぞれ異なる特長と注意すべきリスクがあります。まずは自社が利用しているVPNの種類を特定し、仕組みを理解した上で、脆弱性に応じた対策を講じることが重要となります。
【種類・接続方式別】VPNの特長と脆弱性リスク
「IP-VPN」「インターネットVPN」「広域イーサネット」それぞれの特長と脆弱性リスクを次に示します。
| 分類 | 代表的方式 | 通信経路・特長 | 外部公開 | 主な脆弱性・リスク |
|---|---|---|---|---|
| IP-VPN(閉域網型) | MPLS-VPN | 通信事業者の閉域網で拠点間通信 | 非公開 |
|
| インターネットVPN | SSL-VPN | Webアクセス型のTLS暗号化 | 公開(443ポート) |
|
| IPsec-VPN | 拠点間やリモートアクセス用IPsecトンネル | 公開 |
|
|
| 広域イーサネット | VPLS | 通信事業者のイーサネット基盤で拠点間通信 | 非公開 |
|
IP-VPN(閉域網型)の特長と脆弱性リスク
IP-VPNは、通信事業者の閉域網を利用するVPNの一種です。閉域網の為利用者が限定され、外部からの侵入リスクは低いですが、通信事業者側の設定にミスがあると、ほかの拠点に通信が誤送信される危険性があります。また、自社でルーターの設定を誤ると通信内容が漏えいする危険性もあります。
VPN自体にはマルウェア感染時に感染拡大を防止する機能はありません。万一感染した端末が内部ネットワークに接続された場合、横移動により感染が他の拠点まで拡大する危険性があるため、別途対策が必要です。
インターネットVPN(共用網型)
インターネット網を利用するインターネットVPNは、専用回線(閉域網)を使うVPN方式と比べて不特定多数のネットワーク上で通信するため、外部からの攻撃や盗聴のリスクに注意が必要です。
この記事では、代表的なインターネットVPNの方式であるSSL-VPN方式とIPsec-VPN方式 の仕組みと特長をわかりやすく紹介します。
SSL-VPN方式の特長と脆弱性リスク
SSL-VPNは、Webブラウザや専用のクライアントソフトウェアを使用してアクセスする方式のVPNで、SSL/TLSプロトコルにより暗号化を行っています。古いバージョンのSSL/TLSプロトコルを使用していると、公開ポート(443ポート)を悪用した攻撃などを受け通信内容を盗聴される危険性があります。また、VPN装置自体のソフトウェアやファームウェアの脆弱性が悪用され、外部から不正なコマンドを実行される「ゼロデイ攻撃」などを受ける危険性もあります。
そのほか、安易なパスワードを使用したり、ログイン情報の不適切な管理を行ったりすると、不正アクセス・アカウント乗っ取りを受ける危険性もあります。
IPsec-VPN方式の特長と脆弱性リスク
IPsec-VPNは、専用のクライアントソフトを利用し、主に拠点間やリモートアクセスで利用されるVPN方式です。
IPsecプロトコルにより暗号化することで、高いセキュリティを確保します。
一方で、暗号鍵の不適切な管理方法や、古いプロトコルを使用していると、通信内容を盗聴される危険性があります。また、ルーターの設定を誤ると、通信内容が漏えいする危険性もあります。
このようにIPsec-VPNには安全性が高いというメリットがある半面、仕組みが複雑なため設定ミスが発生しやすいというデメリットもあります。
広域イーサネットの特長と脆弱性リスク
広域イーサネットは、通信事業者のイーサネット基盤(MPLS、Multi-Protocol Label Switching)上でVPLS(Virtual Private LAN Service、仮想プライベートLANサービス)とよばれる技術を活用し、遠隔地にある企業のLANどうしを仮想的に接続する方式です。
IP-VPNと同様に通信事業者の閉域網を使用するため、一般的に安全性は高いですが、通信事業者側の装置に設備障害が発生すると通信が途絶する危険性があります。また、VPLSにID不一致などの設定ミスがあると、ネットワーク全体に通信障害がおよぶ危険性があります。
VPNの脆弱性を悪用したサイバー攻撃の3つの事例
これらのVPNの脆弱性を悪用し、実際に被害が発生したサイバー攻撃の事例には次のようなものがあります。
1:VPNの脆弱性を悪用したランサムウェアの侵入で、システムトラブルが発生
2024年、岡山県内のある病院ではVPN装置の脆弱性を放置していたことによりランサムウェアに感染し、電子カルテをはじめとする院内システムが使用不能となりました。幸い診療が停止することはありませんでしたが、仮復旧には約10日、完全復旧には約3ヶ月を要しました。
2:VPN装置の脆弱性を起点にサーバーへ侵入され、個人情報などが漏えい
同じく2024年、ある国立研究開発法人がVPN装置の脆弱性を起点として一部のサーバーが不正アクセスを受け、個人情報を含む情報が流出しました。セキュリティ上の理由から詳細については伏せられていますが、国内最高峰ともいえる研究機関が被害にあったことで話題となりました。
3:旧型のVPN装置から不正アクセスが発生、約1.6万件の個人情報が流出
2020年、ある大手ゲーム会社がVPN装置の脆弱性を突いた攻撃を受け、個人情報の漏えいが発生しました。
当時、コロナ禍によるリモートワーク需要の急増に対応するため、予備機として保管されていた旧型のVPN装置を使用したことが原因とされています。これらの装置には既知の脆弱性に対する対策が施されておらず、攻撃を受けたとみられています。
流出した個人情報は約1万6千件、流出の可能性のある個人情報は約40万件にもおよぶとのことです。
VPNの種類・脆弱性に応じた安全対策&チェックリスト
VPNの種類と脆弱性に応じて今すぐできる具体的なセキュリティ対策は次の通りです。
共通:VPN装置等のアップデートや、多要素認証を実施する
VPNの種類を問わない共通の対策として、ネットワーク全体のセキュリティの向上があります。具体的にはソフトウェアやファームウェアを最新の状態に保つこと、認証方法に二段階認証(多要素認証)を導入することなどがあります。
また、従業員のセキュリティ意識を醸成するため、教育を実施することも有効です。そのほか、共通の安全対策は次表の通りです。
| 種類 | 安全対策 |
|---|---|
| 共通 | VPN装置などのファームウェア・ソフトウェアは最新か |
| アクセス権限、ルーターなどの設定は適切か | |
| 二段階認証・多要素認証など、認証方式は強化されているか | |
| パスワードの設定、管理は適切か | |
| 使用しない機能やポートは閉じているか | |
| アクセスログの監視手段を導入しているか | |
| 社員へのセキュリティ教育を適切に実施しているか |
IP-VPN:セキュリティ対策やサポート体制が充実した通信事業者を選定する
IP-VPNでは、共通の事項に加えてアクセス権限などルーターを適切に設定すること、万一マルウェアに感染した端末が社内ネットワークに接続された場合に感染防止策が取られていること、などを追加でチェックしておきましょう。
| 種類 | 安全対策 |
|---|---|
| IP-VPN | マルウェア感染拡大防止策は採られているか |
インターネットVPN:ルーターの設定やアクセス元、共有鍵の管理などを見直す
インターネットVPNでは、暗号化方式、通信プロトコルを最新に保つことが重要となります。また、IPsec-VPNでは認証鍵の適切な管理を徹底しましょう。
| 種類 | 安全対策 | |
|---|---|---|
| インターネットVPN | SSL-VPN | 暗号化方式、通信プロトコルは最新か |
| IPsec-VPN | 暗号化方式、通信プロトコルは最新か | |
| 認証鍵は適切に管理されているか | ||
広域イーサネット:VPLSを適切に設定する
広域イーサネットでは、VPLSの複雑な設定を間違いなく行い、定期的に見直すことが重要となります。情報漏えいなどがないよう、適切な管理を心がけましょう。
| 種類 | 安全対策 |
|---|---|
| 広域イーサネット | VPLSは適切に設定されているか |
脆弱性対策も兼ね備えるVPNサービス「Prime ConnectONE®」
自社での継続的な脆弱性対策が難しい企業さまには、NTTPCのIP-VPNサービス「Prime ConnectONE®」がお勧めです。
「Prime ConnectONE®」はNTTの閉域網を利用したIP-VPNであることに加え、常に最新のセキュリティ対策を提供する3種類のセキュリティプランを用意。
さらに運用を自動化するAIOpsを備えており、ネットワークおよびセキュリティの運用管理負担を大幅に軽減します。
ベストエフォート Standard ハイブリッドタイプ
初期料金:35,000円(税込35,000円)
月額料金:16,800円(税込16,800円)
閉域網の安全性に加え、インターネット接続も併用できるプランです。クラウドサービスの利用や外部サービスとの接続が必要な企業さまに適しており、セキュリティと利便性を両立した柔軟な運用が可能です。
ベストエフォート Standard クローズドタイプ
初期料金:35,000円(税込35,000円)
月額料金:14,800円(税込14,800円)
インターネットを経由しない完全閉域構成のプランです。拠点間通信の安全性を最優先したい企業さまに適しており、セキュリティ重視のシンプルなネットワーク構成を実現します。
そのほかにも中堅・中小企業さまに適したプランを多数用意しています。
自社のセキュリティ課題を解決する選択肢として、是非NTTPCの企業向けネットワーク&セキュリティサービス「Prime ConnectONE®」の導入をご検討ください。
まとめ
今回はVPNに関連する様々な脆弱性について解説しました。
VPNにはIP-VPN、インターネットVPN、広域イーサネットなどの種類があり、それぞれで脆弱性リスクが異なります。
まずは自社が利用しているVPNを特定するところから始め、各方式の特長と脆弱性リスクを把握した上で、末尾に掲載した安全対策&チェックリストに従って対策を進めてみてはいかがでしょうか。
本文中でも紹介した通り、VPNを使用している大企業においてもVPNの脆弱性を突いたサイバー攻撃を受け、個人情報漏えいなどのインシデントが発生しています。被害を未然に防止するため、VPNの脆弱性対策をIT担当部門のみの課題と捉えず、全社的な課題として対策を進めることをお勧めします。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
