出張の最中、目まぐるしく忙しい中で会社のサーバに保管された文書を急に確認しなければならない時、あなたならどうしますか。普通、企業ネットワークは専用サーバまたは閉域網で構築されており外部からの接近を防いでいますが、VPNを利用すると会社のネットワークに接続できるようになります。一般的にVPNは安全で簡単だと思われがちですが、本当にそうなのでしょうか。今回はVPNの使用例と、その脆弱性についてお届けします。
なぜ多くの人がVPNを使っているのか
VPNとは Virtual Private Network の略字であり、暗号化やプロトコールなどを通じネットワーク上に仮想の通路を設け機密を守る技術です。通信過程でセキュリティを維持する必要があるときによく使われています。また、「働き方改革」の一環でテレワークが幅広く進められるにつれ、さらに注目されてもいます。それでは、VPNがどの様な状況で使われているのかを見ていきましょう。
海外出張しているとき
海外出張の際には、業務のため使わざるを得ないサイトに接続できない状況が頻繁に起こります。例えば中国ではグーグルに接続できませんが、これは国家別に接続が許可されていないサイトが存在するからです。業務を行うにおいて大きな障害となりますが、VPNを使うことによって遮断されたサイトに接続することができます。
無料Wi-fiを利用しているとき
公衆無線LANなど、無料Wi-fiの場合、暗号化などのセキュリティ対策が施されていない場合が頻繁に見かけられます。これは、利用者の情報が無防備に露出されることが多い、と同じ意味です。実際、無料Wi-fiの利用者を狙ったサイバー攻撃も数多く報告されています。VPNを利用すると通信経路全体を暗号化でき、情報の露出を防ぐことができます。
外部から社内ネットワークに接続するとき
数々の企業が社員の社内ネットワーク接続のため、ビジネス用VPNを使用しています。社内ネットワークをインターネットで構築しながらも、指定されたVPNを利用する者のみが接続できるようにする形です。専用回線でネットワークを構築する方式に比べコストを抑えながらも、一定レベルのセキュリティを維持する事が可能になります。
しかし、よく考えてみたら、このような事例は全て「VPNを利用すれば安全が保障される」という前提で行われています。VPNは果たして本当に安全だと言えるのでしょうか。
VPNとて必ず安全なわけじゃない
残念ながら、VPNを利用するとしても必ず安全が保障されるわけではありません。VPNにも脆弱性が存在するのです。例えば、2020年に発生した「三菱電機に対するサイバー攻撃」事件では、VPN装置がハッキングされたことが事件の始まりでした。
三菱電機へのサイバー攻撃、VPN装置にハッキングか
2020年5月2日
三菱電機への大規模なサイバー攻撃で、不正アクセスの起点が「仮想プライベートネットワーク(VPN)」と呼ばれる通信機器へのハッキングだった可能性が高いことが複数の関係者への取材で分かった。ネットワークに侵入した中国系ハッカー集団「BlackTech(ブラックテック)」が、防衛に関する機密や個人情報を流出させたとされる。…
同社の複数の関係者によると、中国拠点のPCで外部との不審な通信がないか調べたところ、中国国内にあるデータセンターに設置されたVPN装置に不正アクセスの痕跡が見つかったという。装置は中国など海外の拠点と日本の拠点をネット回線を介して互いにつなげる役割がある。この装置へのハッキングが社内ネットワークへの侵入のきっかけだったとみている。
引用: 朝日新聞
実際、VPNを狙った攻撃が近年さらに増加しています。この事件の場合、セキュリティ対策をしっかりと行っていると思われた大手企業を狙ったものなので、さらに大きな衝撃を与えました。特にビジネス用VPNは企業ネットワークに接続する用途で使用されるため、攻撃により発生する被害は想像を超すと思われます。攻撃者が企業ネットワークに侵入でき、内部情報を思うままに奪取できるという事を意味するからなのです。
攻撃者が目標にしていると思われる、主なVPNの脆弱性には次のようなものがあります。
低レベルのプロトコル及び暗号化
VPNは暗号化及びプロトコルなどを利用し安全性を確保しています。しかし、そのレベルには製品によって雲泥の差があります。廉価または無料で提供されているVPNの場合、低レベルのプロトコル及び暗号化を利用しており、容易にハッキングされる可能性があります。よって、十分に検証されたものなのかを確認する必要があるでしょう。ハッキングによって情報が露出されれば、もはやVPNを使う理由はありません。
VPNサーバに対する攻撃
VPNはその利用者を特定のサーバを通じネットワークに接続させる形でセキュリティを維持しています。しかしサーバ自体がハッキングされたら、セキュリティはどうなるのでしょうか。実際、VPNサービス企業のサーバがハッキングされた事例(引用: Techcrunch)が存在するように、サーバに対する脅威はVPNの脆弱性になりえます。もしもサーバに利用者の情報が残っている場合、通信がいくら安全に行われるとしてもその結果が露出されかねないという事になります。結果的に、VPNを使った理由を探せない状況が作り出されるのです。
VPNを選択する際の注意事項
VPNに脆弱性が存在するとしても、必ずVPNを利用しなければいけない状況に置かれる可能性も十分あり得ます。例えば、海外で遮断されたサイトに接続する必要がある場合などには、VPNを利用しなければいけません。その際には、次のような点に注意する必要があります。
- 信頼できる個人情報保護ポリシー及びデータ保存ポリシーが存在するのかを確認する
- 広範囲もしくは適切なサーバ適用範囲を提供しており、多様な選択肢が存在するのかを確認する
- 強力なプロトコル及び暗号化措置が存在するのかを確認する
- 適切な価格と、それに見合う機能を提供するのかを確認する
最後に
テレワークはコロナ禍以後にも引き続き拡大される見通しであり、企業により強固なセキュリティ対策が求められている状況です。先ほど紹介したVPNの脆弱性を周知し、VPNを補完できるセキュリティ対策を取る必要があります。このような状況を鑑み、クラウドブリック(Cloudbric)は追加設置などが不要で、簡単に暗号化、認証、ハッキング防止及びモニタリング等の機能をご利用できる「Remote Access Solution」をリリースしました。10月7日まで無料でお試しいただけるので、是非お試しください。
Cloudbric Remote Access Solutionの詳細はこちら