VPN接続の脆弱性が狙われている!事故事例やセキュリティリスクを軽減する方法
はじめに
VPN接続の仕組みとメリット
VPN接続では、下記の機能で通信の安全を図っています。
・トンネリング:仮想的な通信路(いわばトンネル)を構築し、別のネットワークへデータを送信する技術
・カプセル化:通信プロトコルにデータを埋め込み、データを秘匿する技術
・暗号化:データを暗号化し、外部から内容を閲覧できないようにする技術
VPN接続のメリット
VPN接続を行うと、企業の各拠点にあるサーバーのファイルを安全な通信で共有することが可能です。またテレワークで社外にいる際にも、社内のデータに安全にアクセスできます。VPN接続は、2020年の新型コロナウイルスの流行にともなってテレワークが普及したことにより、広く使われるようになりました。自宅からでも安全に社内のネットワークに接続でき、また専用線に比べて導入が安価であることから、VPNが用いられたのです。
VPNの脆弱性が問題視されている
VPN接続は比較的安全な通信を行えますが、VPN機器の脆弱性を突いたサイバー攻撃が相次いでいます。近年発生しているランサムウェアによるサイバー攻撃は、VPN機器からの侵入が最も多いという調査もあります。
参考:中小企業向けサイバーセキュリティ実践ハンドブック
https://www.cybersecurity.metro.tokyo.lg.jp/security/docs/Tokyo_CyberSecurity_HandBook_2023_Text.pdf
VPN機器に関しては、大きく分けて下記3つがリスクとなりえます。
VPN設定のミス
VPNの設定ミスは、致命的な事態を招きます。たとえば不要なポートが開放されている、管理画面がアクセス可能な状態になっている場合などに、攻撃者によるターゲットのシステムへの侵入が容易となってしまうのです。
VPN認証機能の欠陥
簡単に推測できるパスワードを使用している、多要素認証でない場合など、認証機能が弱いこともリスクのひとつです。攻撃者は認証機能の欠陥を狙ってブルートフォース攻撃(総当たり攻撃)を行い、パスワードを破ってきます。
古いバージョンのVPN機器への接続
VPN機器自体に脆弱性がある場合もあります。特に古いVPN機器やソフトウェアには脆弱性があることがわかっています。ソフトウェアの更新がされていないと脆弱性がそのままとなってしまい、そこから侵入を許してしまうのです。
VPNの脆弱性を狙った事故事例
CAPCOM:古いVPN装置を狙った不正アクセス
大手ゲーム会社のCAPCOM で2020年11月、システム障害が発生しました。当時は新型コロナウイルス感染症が流行している最中です。CAPCOMの北米現地法人では、ネットワーク負荷の増加に対応するために急遽、予備の旧型VPN装置を使用していました。その後北米および国内拠点における一部の機器が、ランサムウェアに感染。各機器のファイルが暗号化され、システムの一部にアクセスしにくくなりました。1日あまりでシステム障害からは復旧したものの、15,649人の個人情報が流出する事態となったのです。
参考:不正アクセスに関する調査結果のご報告【第4報】|CAPCOM
https://www.capcom.co.jp/ir/news/html/210413.html
大阪急性期・総合医療センター:ランサムウェア被害
2022年10月、大阪府立病院機構 大阪急性期・総合医療センターがサイバー攻撃を受けました。直接的な攻撃方法はランサムウェア攻撃ですが、サプライチェーン攻撃でもあります。医療センターに関連する給食事業者のVPN 機器の脆弱性から第三者がネットワークへ侵入したことが発端で、医療センターの情報システムまでランサムウェア感染の被害が及びました。この攻撃で医療センターでは電子カルテを含むシステムやネットワークが使えなくなり、紙ベースのカルテを運用せざるを得なくなりました。全体の診療システムが完全に復旧したのは、障害発生後73日目のことで、診療システムに大きな被害は発生したものの、情報漏えいの可能性は極めて低いと報告書では結論づけられています。被害額は、調査・復旧費用で数億円、診療制限にともなう逸失利益は十数億円以上と見込まれる事態となりました。
参考:調査報告書|地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター 情報セキュリティインシデント調査委員会
https://www.gh.opho.jp/pdf/report_v01.pdf
VPNのセキュリティリスク対策
VPN機器の脆弱性に対処するには、次のような対策が求められます。
VPNのセキュリティパッチを更新する
VPNのソフトウェアや機器を常に最新バージョンに保つことで、既知の脆弱性を修正することが可能です。
VPNサーバーの認証機能を適切に設定する
パスワードを難解なものに変更して適切な権限を持った者が正しく共有する、また多要素認証の導入を行うなどして、認証機能を強化します。
社内のセキュリティ教育を強化する
攻撃は利用者の端末を発端とすることもあります。ソフトウェアやOSを最新バージョンにすることや、重要なアカウント情報を正しく保持することなどを利用者が徹底できるように指導し、社内のセキュリティ教育を強化しましょう。
セキュリティツールを導入する
VPNのほかに、侵入検知システム(IDS)や侵入防止システム(IPS)、ファイアウォールなどのセキュリティツールを導入し、VPN周辺のセキュリティ環境を強固にします。
VPN以外のソリューションを導入する
VPN自体を置き換える方法もあります。アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)や連邦捜査局(FBI)は、VPNをSASE(Secure Access Service Edge)やSSE(Secure Service Edge)に置き換えることを推奨しています。
境界型セキュリティモデルに代わるSASEのメリット
従来のネットワークとセキュリティのモデルは、社内・社外を分け、社外からアクセスしてくる通信に対してファイアウォールなどのセキュリティ対策を施し、社内のネットワークを保護するというものでした。これに対しSASEでは社内・社外を問わず、「どの通信も信用しない」ことを基本とする「ゼロトラスト・セキュリティモデル」を採用し、複数のセキュリティ製品を組み合わせて実現しています。
SASEによって、ネットワーク環境に適応した強固なセキュリティ対策を実施できます。またSASEはセキュリティ管理の一元化が可能となり、運用コストや管理負荷を軽減できる点もメリットです。
SASEの詳細は次のコラムをご参照ください。
参考コラム:新たなセキュリティモデル「SASE」とは?ゼロトラストとの関係や導入時の注意点を解説 |
SASEのサービスのひとつに「Cato(ケイト)」があります。Cato Networks社が提供しているSASE製品で、SD-WANやIPS、CASBなどの機能をまとめて提供しています。
参考コラム:いま注目のCato(ケイト)とは?概要やトライアルの際の注意点を解説 |
まとめ
VPNのセキュリティ対策でお困りの場合やCatoへの移行を検討されている場合は、ぜひアクセリアにご相談ください。
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
平日09:30 〜 18:00
Free Service