03-5211-7750 平日|09:30~18:00

VPN接続の脆弱性が狙われている!事故事例やセキュリティリスクを軽減する方法

           

サービス資料や
ホワイトペーパーはこちら

           資料を【無料】ダウンロードFREE

はじめに

リモートワーク・テレワークの普及により情報セキュリティ対策が必要となり、VPN接続を導入した企業も多いことでしょう。安全性に配慮されているVPN接続ですが、近年脆弱性が狙われており、サイバー攻撃に利用されることもあります。この記事ではVPN接続の脆弱性と対策、VPNに代わって新たに推奨されているSASEやその製品についてご紹介します。

VPN接続の仕組みとメリット

VPN(Virtual Private Network)とは、物理的な専用回線ではなく、インターネット回線を仮想化して専用ネットワークを構築する技術です。VPN経由でネットワークに接続することをVPN接続といいます。
VPN接続では、下記の機能で通信の安全を図っています。

トンネリング:仮想的な通信路(いわばトンネル)を構築し、別のネットワークへデータを送信する技術
カプセル化:通信プロトコルにデータを埋め込み、データを秘匿する技術
暗号化:データを暗号化し、外部から内容を閲覧できないようにする技術

VPN接続のメリット


VPN接続を行うと、企業の各拠点にあるサーバーのファイルを安全な通信で共有することが可能です。またテレワークで社外にいる際にも、社内のデータに安全にアクセスできます。VPN接続は、2020年の新型コロナウイルスの流行にともなってテレワークが普及したことにより、広く使われるようになりました。自宅からでも安全に社内のネットワークに接続でき、また専用線に比べて導入が安価であることから、VPNが用いられたのです。

VPNの脆弱性が問題視されている

VPNの脆弱性
VPN接続は比較的安全な通信を行えますが、VPN機器の脆弱性を突いたサイバー攻撃が相次いでいます。近年発生しているランサムウェアによるサイバー攻撃は、VPN機器からの侵入が最も多いという調査もあります。

参考:中小企業向けサイバーセキュリティ実践ハンドブック
https://www.cybersecurity.metro.tokyo.lg.jp/security/docs/Tokyo_CyberSecurity_HandBook_2023_Text.pdf

VPN機器に関しては、大きく分けて下記3つがリスクとなりえます。

VPN設定のミス


VPNの設定ミスは、致命的な事態を招きます。たとえば不要なポートが開放されている、管理画面がアクセス可能な状態になっている場合などに、攻撃者によるターゲットのシステムへの侵入が容易となってしまうのです。

VPN認証機能の欠陥


簡単に推測できるパスワードを使用している、多要素認証でない場合など、認証機能が弱いこともリスクのひとつです。攻撃者は認証機能の欠陥を狙ってブルートフォース攻撃(総当たり攻撃)を行い、パスワードを破ってきます。

古いバージョンのVPN機器への接続


VPN機器自体に脆弱性がある場合もあります。特に古いVPN機器やソフトウェアには脆弱性があることがわかっています。ソフトウェアの更新がされていないと脆弱性がそのままとなってしまい、そこから侵入を許してしまうのです。

VPNの脆弱性を狙った事故事例

VPNの脆弱性を狙った不正アクセスが起こると、機密情報の漏えいや改ざん、他企業への攻撃の踏み台として自社の設備が使われる恐れがあります。近年起こったVPNの脆弱性にかかわるセキュリティ事故例を紹介します。

CAPCOM:古いVPN装置を狙った不正アクセス


大手ゲーム会社のCAPCOM で2020年11月、システム障害が発生しました。当時は新型コロナウイルス感染症が流行している最中です。CAPCOMの北米現地法人では、ネットワーク負荷の増加に対応するために急遽、予備の旧型VPN装置を使用していました。その後北米および国内拠点における一部の機器が、ランサムウェアに感染。各機器のファイルが暗号化され、システムの一部にアクセスしにくくなりました。1日あまりでシステム障害からは復旧したものの、15,649人の個人情報が流出する事態となったのです。

参考:不正アクセスに関する調査結果のご報告【第4報】|CAPCOM
https://www.capcom.co.jp/ir/news/html/210413.html

大阪急性期・総合医療センター:ランサムウェア被害


2022年10月、大阪府立病院機構 大阪急性期・総合医療センターがサイバー攻撃を受けました。直接的な攻撃方法はランサムウェア攻撃ですが、サプライチェーン攻撃でもあります。医療センターに関連する給食事業者のVPN 機器の脆弱性から第三者がネットワークへ侵入したことが発端で、医療センターの情報システムまでランサムウェア感染の被害が及びました。この攻撃で医療センターでは電子カルテを含むシステムやネットワークが使えなくなり、紙ベースのカルテを運用せざるを得なくなりました。全体の診療システムが完全に復旧したのは、障害発生後73日目のことで、診療システムに大きな被害は発生したものの、情報漏えいの可能性は極めて低いと報告書では結論づけられています。被害額は、調査・復旧費用で数億円、診療制限にともなう逸失利益は十数億円以上と見込まれる事態となりました。

参考:調査報告書|地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター 情報セキュリティインシデント調査委員会
https://www.gh.opho.jp/pdf/report_v01.pdf

VPNのセキュリティリスク対策

セキュリティパッチの更新
VPN機器の脆弱性に対処するには、次のような対策が求められます。

VPNのセキュリティパッチを更新する


VPNのソフトウェアや機器を常に最新バージョンに保つことで、既知の脆弱性を修正することが可能です。

VPNサーバーの認証機能を適切に設定する


パスワードを難解なものに変更して適切な権限を持った者が正しく共有する、また多要素認証の導入を行うなどして、認証機能を強化します。

社内のセキュリティ教育を強化する


攻撃は利用者の端末を発端とすることもあります。ソフトウェアやOSを最新バージョンにすることや、重要なアカウント情報を正しく保持することなどを利用者が徹底できるように指導し、社内のセキュリティ教育を強化しましょう。

セキュリティツールを導入する


VPNのほかに、侵入検知システム(IDS)や侵入防止システム(IPS)、ファイアウォールなどのセキュリティツールを導入し、VPN周辺のセキュリティ環境を強固にします。

VPN以外のソリューションを導入する


VPN自体を置き換える方法もあります。アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)や連邦捜査局(FBI)は、VPNをSASE(Secure Access Service Edge)やSSE(Secure Service Edge)に置き換えることを推奨しています。

境界型セキュリティモデルに代わるSASEのメリット

SASEは従来の境界型セキュリティモデルに代わる技術として注目されています。SASEとは、クラウド上でネットワーク機能とセキュリティ機能を統合させる手法および製品群で、SSEはSASEのうちセキュリティサービスを担う部分です。

従来のネットワークとセキュリティのモデルは、社内・社外を分け、社外からアクセスしてくる通信に対してファイアウォールなどのセキュリティ対策を施し、社内のネットワークを保護するというものでした。これに対しSASEでは社内・社外を問わず、「どの通信も信用しない」ことを基本とする「ゼロトラスト・セキュリティモデル」を採用し、複数のセキュリティ製品を組み合わせて実現しています。
SASEによって、ネットワーク環境に適応した強固なセキュリティ対策を実施できます。またSASEはセキュリティ管理の一元化が可能となり、運用コストや管理負荷を軽減できる点もメリットです。

SASEの詳細は次のコラムをご参照ください。
 参考コラム:新たなセキュリティモデル「SASE」とは?ゼロトラストとの関係や導入時の注意点を解説


SASEのサービスのひとつに「Cato(ケイト)」があります。Cato Networks社が提供しているSASE製品で、SD-WANやIPS、CASBなどの機能をまとめて提供しています。

 参考コラム:いま注目のCato(ケイト)とは?概要やトライアルの際の注意点を解説


【ご相談は無料です】お気軽にご連絡ください

まとめ

VPNの脆弱性を突いたランサムウェア攻撃、サプライチェーン攻撃は後を絶たず、さまざまな企業が損害を被っている現状があります。
VPNのセキュリティ対策でお困りの場合やCatoへの移行を検討されている場合は、ぜひアクセリアにご相談ください。

アクセリア株式会社

サービス事業部
Contact usお問い合わせ

サービスにご興味をお持ちの方は
お気軽にお問い合わせください。

Webからお問い合わせ

お問い合わせ

お電話からお問い合わせ

03-5211-7750

平日09:30 〜 18:00

Download資料ダウンロード

製品紹介やお役立ち資料を無料でご活用いただけます。

Magazineメルマガ登録

最新の製品情報などタイムリーな情報を配信しています。

Free Service

PageSpeed Insights シミュレータ

CDNによるコンテンツの最適化を行った場合のPageSpeed Insightsのスコアをシミュレートしてレポートします。