2020年8月下旬、犯罪サイトに全世界900個以上の企業のVPN情報が流出されたというニュースが大きく報道されました。この中には38個の日本企業も含まれており、大きな衝撃を与えています。VPNは外部から企業の内部ネットワークに接続する用途で使われており、新型コロナウイルスの蔓延に従ってテレワークが拡大されるにつれ、その使用量を増しています。そしてテレワークの日常化が進んでいる今時、その必須的な手段と呼ばれるVPNがハッキングされたという事実は、かなりの意味を含んでいるのです。
多数の企業が被害を受けた、VPNによる新たな脅威が台頭
今回発生した大規模ハッキングは、米パルスセキュア社のVPNサービスを利用している企業をターゲットにした事件です。実は2019年、対象となったVPNに脆弱性が存在していることがすでに把握され、パルスセキュアにより修正用パッチを配布されました。また、2020年4月には、アメリカ政府及び関連機関も該当サービスを利用する企業に対しハッキングの脅威を警告し続けてきました。しかし、それから数か月しか過ぎてないにも関わらず、今回の事件が発生したのです。被害を受けた平田機工は、情報流出の原因を次のように明かしました。
VPNパスワード流出、原因は「テレワーク用に急きょ稼働させた旧VPN装置に脆弱性」 平田機工
2020年8月26日
4月から始めたテレワークの負荷分散のため旧VPNシステムを急きょ稼働させたところ、最近発見された脆弱性を突かれて、社員24人とVPNシステム管理用のユーザーIDとパスワードが抜き取られたという。社内ネットワークに侵入された形跡はなかったとしている。
同社は4月後半からテレワークを実施。その負荷に現VPNシステムでは対処しきれなくなったため急きょ、前年度に交換した旧VPNシステムを4月22日から稼働させて負荷を分散させた。
だが旧VPN装置には最近発見された脆弱性があり、社員24人とVPNシステム管理用のユーザーIDとパスワードが6月25日に抜き取られ、その後、ダークウェブ上で2週間アクセス可能になっていたという。
引用: ITmedia NEWS
在宅勤務が必要になったため、VPNを急に利用した結果、このような問題が発生したとのことです。幸い、大きな被害が発生してはないとのことですが、いつ被害が発生してもおかしくはない、という状況であることも確かです。例えば奪取されたVPNの認証情報が利用され、企業の内部ネットワークやサーバに無断侵入されるケースが考えられます。
このような状況を鑑みると、今回の事件の責任は適時に最新パッチを適用しなかった企業にあると言えます。しかし、VPNに存在するすべての脆弱性が発表され、対応パッチが配布されるわけではないため、今後もいくらでもVPNによる事故が発生しかねないという事です。
VPNによって発生する情報流出事故の原因と対策
今回の事件によって発覚した最も大きな問題は、「VPNさえ使えば安全だ」という思い込みです。VPNは外部から内部ネットワークに接続できるよう、ブラウザとサーバ間に暗号化されたトンネルを設け、そこからの通信のみを許容します。「ネットワークに境界線を作り、内部への侵入を防ぐための対策」だと言えますが、そのトンネルが安全だと断言できるのでしょうか。
三菱電機で起こった事件が代表的な反例です。機密情報や個人情報が流出し、大きな話題になりましたが、その始まりがVPNに対する攻撃だったのです。
三菱電機へのサイバー攻撃、VPN装置にハッキングか
2020年5月2日
三菱電機への大規模なサイバー攻撃で、不正アクセスの起点が「仮想プライベートネットワーク(VPN)」と呼ばれる通信機器へのハッキングだった可能性が高いことが複数の関係者への取材で分かった。ネットワークに侵入した中国系ハッカー集団「BlackTech(ブラックテック)」が、防衛に関する機密や個人情報を流出させたとされる。…
同社の複数の関係者によると、中国拠点のPCで外部との不審な通信がないか調べたところ、中国国内にあるデータセンターに設置されたVPN装置に不正アクセスの痕跡が見つかったという。装置は中国など海外の拠点と日本の拠点をネット回線を介して互いにつなげる役割がある。この装置へのハッキングが社内ネットワークへの侵入のきっかけだったとみている。引用: 朝日新聞
ハッカーはVPN装置に対する攻撃を起点に社内ネットワークへ侵入し、大規模なサイバー攻撃を仕掛け、その結果情報が流出されました。つまり、「VPNさえ使えば安全だ」という前提がこれ以上有効ではないのです。
また、VPN自体が安全だと仮定しても、それを利用するデバイスが安全だとは言えません。テレワークの際に個人のPCが攻撃され、認証情報が奪取された場合を想定してみましょう。VPNは普通、IDとパスワードにより使用者の認証を行い、その後のチェックは行いません。よって、ハッカーが奪取した認証情報を利用し、疑われることなく企業の内部ネットワークに接続して情報を得ることができるでしょう。またVPNはデバイスに問題があるかどうかを検証しないため、マルウェア感染がデバイスから社内アプリケーションに拡大する恐れがあります。
このような状況を未然に防ぐには、ネットワークに境界線を作り侵入を防止するのではなく、社内ネットワークの中にも脅威が存在することを認識することが重要です。例えば、内部システムに接続された後にも、多要素認証等の手続きを経たユーザだけにデータの閲覧を許可するなどの対策が考えれるでしょう。侵入を入り口だけで防ぐのではなく、壁が突破される可能性を考慮して複数の防衛線を張り、ハッカーにさらなる負担をもたらすのです。「中にある情報の価値以上の対価を支払うようにして、諦めさせる」というセキュリティの基本ポリシーを常に頭の中に入れておきましょう。
最後に
生き方や働き方が絶えなく変化するのに合わせ、セキュリティに対するアプローチも常に進化する必要があります。もちろんVPNも様々なメリットを持つセキュリティ対策ですが、その限界もまたはっきりしています。当たり前のように思っていた「VPNさえ使えば安全だ」という前提を覆し、内外に関わらず全体像を考えながらセキュリティ対策を取る必要があります。クラウドブリックはこのような状況を鑑み、「Remote Access Solution」をリリースしました。VPNと同じ用途で使用でき、「ハッキング防止」、「2要素認証」、「リアルタイムのモニタリング」という三つの矢で企業のセキュリティをサポートします。さらに詳しい情報は、リンク先からご確認ください。
