コラム/トピックス

VPNは安全?仕組みからセキュリティリスクまで一挙に紹介

2024.10.9

イメージ

コロナ禍に広がりをみせたリモートワーク。従業員にとっては「通勤時間を削減できる」「居住地を問わずに就労できる」など人気のワークスタイルとして確立しつつあります。一方、雇用者側は、リモートワークに関わるセキュリティリスクが高まるという懸念を抱えております。

自宅や外出先など、当初想定しなかった場所でのインターネット接続によるセキュリティリスクに対応すべく、VPNを導入したあるいは導入を検討している方も多いでしょう。

VPNは安全性の高い通信手段のひとつですが、VPNで接続すれば手放しに安全というわけではありません。VPNの脆弱性を狙ったサイバー攻撃による被害事例も少なくありません。

この記事では、VPNとはそもそもどのような技術なのか、その仕組みや種類、注意点、VPNを狙ったサイバー攻撃事例について解説します。

VPNとは?セキュリティに配慮した通信技術

VPNとは、Virtual Private Network(バーチャル プライベート ネットワーク)の頭文字を取った略語です。インターネット上に自分専用の通路を構築し、他者からデータを守り安全に情報をやりとりできる道のようなもので、仮想の専用通信回線を構築することにより、安全な拠点間接続を実現する技術です。

一般的なインターネット回線は意図しない外部からのアクセスなど一定のセキュリティリスクがある環境です。特に不特定多数の方が自由に利用できるオープンなWi-Fiのなかには、セキュアな通信が確立されていないネットワークなどもあり、セキュリティリスクが一層高まります。リモートワークのほか、出張先やお客様のオフィスへ往訪する途中などで、やむを得ずそのような環境に接続してしまうことで情報が危険にさらされてしまうこともあります。

そのような通信時のセキュリティリスクを低減するために、多くの企業で取り入れられている手段がVPNです。認証情報を知っている関係者のみが接続できる仮想専用通信回線には、暗号化をはじめとするさまざまなセキュリティが施されており多拠点間を安全に接続することができる技術といえます。

VPNの仕組み

ここからは、なぜVPNは安全性が高いといわれているのか、VPNの仕組みを交えて紹介します。VPNには一般的に、トンネリング・カプセル化・暗号化といった技術が用いられます。

トンネリング

接続元から接続先へ専用の通信経路を構築し、この経路をトンネルのように覆い隠す技術です。これにより、外部からのアクセスが遮断された状態になります。

カプセル化

通信経路をトンネルで覆い隠すだけでは、万が一トンネル内に侵入されてしまったとき、トンネル内を通る送受信データが覗き見られてしまうリスクがあります。それを防ぐために、送受信データにカプセル化という処理を施します。これにより、トンネル内を通るデータそのものが保護された状態になります。

暗号化

さらに複合的な手法で情報を保護するために、カプセル化に加えて暗号化を施します。これにより、正当な受信者以外はそのデータを理解できない状態に加工されます。

このように、二重三重のセキュリティ対策が施されていることが、VPNによるデータ通信が通常の通信環境と比較してセキュアだといえる背景です。

VPNの種類

VPNは大きくインターネットVPN・エントリーVPN・IP-VPN・広域イーサネットの4種類に分類されます。
以下、VPNを選ぶ際のポイントとなるコスト・セキュリティ・通信速度に関する一般論を取りまとめた比較表です。

  インターネットVPN エントリーVPN IP-VPN 広域イーサネット
コスト 安価 安価 高価 高価
セキュリティ 一般的 強い 強い 強い
通信速度 混雑時に低下する場合がある 一定の通信速度が保たれる

※サービス提供元によって異なります

インターネットVPN

インターネットVPNは、一般のインターネット回線を使ってVPNを構築する方法です。
既存の回線を利用するため安価に導入できる点がメリットです。

ただし、一般のインターネット回線を使用するという性質上、他の種類と比較するとセキュリティ強度は一般的。また、“ベストエフォート型”が採用されているため、通信速度は回線の混雑状況によって左右されるというデメリットも併せ持ちます。
どなたでも、比較的容易に導入できるVPNサービスです。

なお、インターネットVPNにはSSLVPN*1とIPsecVPN*2があり、一般的には後者の方がセキュアであると言われます。

*1 SSLVPN:ウェブブラウザを使い、安全なリモートアクセスを提供するVPN
*2 IPsecVPN:ネットワーク層で暗号化して、安全な通信を提供するVPN

エントリーVPN

エントリーVPNは、インターネット回線に閉域網(関係者のみが接続できるクローズドなネットワーク)を構成し、VPNを構築する方法です。
一般のインターネット回線を利用するため安価に導入できるといわれています。また、閉域網を構成することにより、一定のセキュリティ強度を担保できる点もメリットとして挙げられます。ベストエフォート型のため、回線の混雑状況によって通信速度が左右される点がデメリットになることがあります。

IP-VPN

IP-VPNは、通信事業者が持つ閉域網にVPNを構築する方法です。 閉域網を用いることにより、インターネットVPNと比較するとセキュリティ強度が高くなるという点と、“ギャランティ型(帯域保証型)”の採用により、一定の通信速度が保証されているという点がメリットとして挙げられます。(サービス提供元によってはベストエフォート型の場合もあります)

デメリットは、インターネットVPNやエントリーVPNと比較するとコストが高くなるという点です。
後述する広域イーサネットとは異なり、ネットワークの運用・保守は通信事業者に任せることもできるため、自社の負担を軽減しつつ多拠点間でセキュアな通信を実現したい場合に適しているVPNだといわれています。

広域イーサネット

IP-VPNと同様に、通信事業者が提供する閉域網にVPNを構築する方法です。そのためメリット・デメリットはおおよそIP-VPNと同様ですが、使用できるプロトコに違いがあります。IPプロトコルのみのIP-VPNに対して、広域イーサネットはマルチプロトコルに対応しており、よりカスタマイズ性に優れているといわれています。
セキュリティ強度の高さが必要な場合かつ、高度な設定、運用・保守が可能な場合に活用できるVPNだといえるでしょう。

VPNのセキュリティリスクとそれを狙ったサイバー攻撃事例

VPNはセキュリティに優れた通信手段ですが、完璧ではありません。
VPN機器の脆弱性を狙う“ネットワーク貫通型攻撃”と呼ばれるサイバー攻撃手法も確認されており、省庁やIPA(独立行政法人情報処理推進機構)では注意喚起をしています。

VPNに関連するセキュリティリスクとそれを狙ったサイバー攻撃事例を紹介します。

VPN機器がランサムウェアの感染経路に

ランサムウェアの感染経路としてVPN機器からの侵入が71%を占めているとのデータもあります。
警察庁によると令和5年上半期には、リモートデスクトップを含むリモートアクセス用の機器やソフトウェアがランサムウェアの攻撃の感染経路の8割を占めているという発表がありました。

出典:警察庁『令和5年度上半期におけるサイバー空間をめぐる脅威の情報等について』

VPNへの不正アクセス

VPNへの認証情報が何らかの原因で流出してしまうと、第三者がVPNを利用することができる状態になります。また、利用中のサービスに脆弱性がある場合も同様に不正利用のリスクがあります。悪意を持った人に情報が渡ると、侵入、攻撃につながり被害を及ぼすリスクが高いでしょう。

以下は、VPN機器の脆弱性を悪用するコードが公開されたことによるサイバー攻撃の被害事例です。

Pulse Secure製VPN機器の脆弱性が悪用されたサイバー攻撃の事例

2020年8月、Pulse Secure製VPN機器の脆弱性が悪用され、日本国内だけではなく国外も合わせて900以上の事業者からVPNの認証情報が流出する被害が発生。

  • 2019年4月 脆弱性情報公開
  • 2019年8月 脆弱性の悪用を狙ったとみられるスキャンを確認
  • 2019年9月 脆弱性を悪用したとみられる攻撃を確認
  • 2020年8月 国内外900社(国内は38社)の認証情報が公開

出典:経済産業省:最近の産業サイバーセキュリティに関する動向について

Fortinet製FortiOSの脆弱性が悪用されたサイバー攻撃の事例

2020年11月、Fortinet製品では、脆弱性の影響を受ける約5万台に関して、IPアドレス、ユーザーアカウント名、平文パスワードなどの情報が公開される被害が発生。

  • 2019年5月 脆弱性情報公開
  • 2019年8月頃 脆弱性の詳細情報公開、悪用やスキャン開始
  • 2020年11月 脆弱性の影響を受ける約5万台の機器情報が公開

出典:経済産業省:最近の産業サイバーセキュリティに関する動向について

どちらのケースでも、ネットワーク内に侵入された可能性があるため、侵害有無の確認や、パスワード変更などの事後対応に追われる事態となりました。

VPNのセキュリティリスクにも“ASM”

セキュアな通信を実現するためにVPNは現状有効な手段です。
一方で、VPN機器の脆弱性を狙ったサイバー攻撃事例が発生している以上、ほかのセキュリティ対策も同時に実施する必要があると考えられます。
セキュリティ対策を実施するためには、まずセキュリティリスクを可視化すること。インターネットからアクセスできる情報資産のセキュリティリスクを包括的に管理するためにはASM(Attack Surface Management)が有効です。

ASMツールについて詳しく知りたい方は以下の記事もご参照ください

ASM(Attack Surface Management)とは? ~必要性から運用方法まで解説~

ASMは、インターネットからアクセスできるIT資産を継続的に監視し、脆弱性や攻撃の糸口となる部分を網羅的に検知し対策していくプロセスです。例えば、VPN機器が外部に公開されている場合は、攻撃者からサーチされ標的にされるリスクが高い状態と言えます。

VPNを外部にさらさない、脆弱な状態を放置しない、認証情報が漏洩しても悪用されない対策(二要素認証)を導入する、といった直接的な対策は当然行いつつASMを組み合わせることで多角的なアプローチが可能になり、より高いセキュリティが構築できます。

『MS&ADサイバーリスクファインダー』なら、ASMの初回診断を無料でお試しいただけます

まとめ

VPNは、リモートワークをはじめ、オフィスの外でネットワーク接続をする機会も多い現代においてよりセキュアな通信を確保する手段の一つです。
しかし、悪意のあるハッカーにとってはVPNも有効な攻撃の対象であり、常に攻撃の糸口を探しています。
攻撃を防ぐために重要なのは、「何が・どこが攻撃の糸口になり得るか?」を包括的に管理することです。
まずは、ASMの初回無料診断で自社に潜むセキュリティリスクの可視化を試してみることをおすすめします。

会員登録でリスクマネジメントがさらに加速

会員だけが見られるリスクの最新情報や専門家のナレッジが盛りだくさん。
もう一つ上のリスクマネジメントを目指す方の強い味方になります。

  • 関心に合った最新情報がメールで届く!

  • 専門家によるレポートをダウンロードし放題!

  • お気に入りに登録していつでも見返せる。