スマホの普及や在宅ワークなどの働き方の多様化によって、VPNの利用は増えてきています。
それに伴なって、そんな便利なVPN機器の脆弱性を突いたサイバー攻撃の話も聞くようになってきました。
しかし、言葉としては耳にしたことはあるけど、VPNがどういったものかわかっていないという方は多いのではないでしょうか?
この記事では、VPNがどういったものか、その仕組み、利用するメリット・デメリット、VPNが抱える脆弱性、VPNの脆弱性を突いたサイバー攻撃の事例を紹介していきます。
この記事を読んで、VPNが抱える脆弱性を認識し、適切な活用方法を学びましょう!
VPNとは
VPNは「Virtual Private Network」の略で、インターネットを通じた安全な通信を確保するための技術のことです。
これにより、ユーザーのデータは暗号化され、第三者に盗み見られるリスクや不正にアクセスされるリスクが減少します。
そのため、VPNを使用すると、自宅やカフェなどからでも企業ネットワークに比較的安全にアクセスできます。
また、地理的制限を回避して、特定の地域でのみ利用可能なコンテンツにもアクセス可能です。
リモートワークの増加に伴って、セキュリティを確保するためにVPNを導入する企業が増えたため、使用することになった方も多いのではないでしょうか?
VPNを活用すると、インターネット接続時のデータが暗号化されるから、セキュリティ面の向上に活用されているんですね!
「未経験からでもホワイトハッカーになれる!」実践的セキュリティスクール「セキュ塾」
- サイバーセキュリティ技術者育成コース(2024年10月生募集中)
- ホワイトハッカー育成コース(2024年10月生募集中)
VPNの仕組み(4つの要素)
VPNがセキュリティを確保する仕組みとして、主に下記の四つの要素が挙げられます。
- トンネリング
- カプセル化
- 認証
- 暗号化
ここでは、VPNを構成する4つの要素について見ていきましょう!
トンネリング
「トンネリング」は、ユーザがデータのやり取りをする際に、通常のインターネットを通さず、専用のトンネル(通信経路)を通す仕組みのことです。
このトンネルを通したデータのやり取りは、通信経路を利用できる人間が限られているという点から、不特定多数が利用する通常のインターネット回線よりも安全であるといえます。
カプセル化
「カプセル化」は、通信用に分割されたパケットを別のパケットで包むことで、データの秘匿性を上げる技術です。
データをカプセルで包み、本来の性質を隠して送信するようなもので、カプセル化を解除するまで内部のデータは参照できません。トンネル間でのデータの送受信は、このカプセル化を使用して行われます。
認証
「認証」は、トンネル内部への不正アクセスを防ぐために、トンネルに入ろうとしている利用者が正当な利用者かを判別するための「認証システム」のことです。
トンネリングやカプセル化を行ったとしても、第三者が簡単にトンネル内に侵入できてしまうのでは、セキュリティ強度が下がってしまいます。
暗号化
「暗号化」は、トンネル間で送受信されるデータを暗号化して解読できないように変換することです。
この暗号化によって、万一データを通信中に盗み見られても、簡単には理解されず、情報漏洩などの悪用を防ぐことができます。
暗号化を行う際に、暗号化プロトコルと呼ばれるデータの変換・復号のルールが必要で、これにはいくつかの種類があり、種類によって方法や強度に違いがあります。
VPN接続の流れ
VPNを活用したインターネット接続の仕組みを、下記のVPN接続する流れを確認しながら理解しましょう。
- ユーザーはVPNクライアントソフトを起動し、VPNサーバーに接続します。
- ユーザーのデバイスから送信されるデータは暗号化され、安全なトンネルを通じてVPNサーバーに送られます。
- VPNサーバーは、受け取ったデータをインターネットに送信し、必要な情報を取得します。
- 取得した情報は再び暗号化され、VPNサーバーからユーザーのデバイスに送られます。
- 最後に、ユーザーのデバイスでデータが復号され、利用可能になります。
上記のプロセスによって、安全かつプライバシーを保護したインターネット接続が実現します。
VPN接続時に、ユーザー側でやることはVPNをONにすることだけと利用に複雑な手順を必要としないのもいいですね!
VPN機器が抱える脆弱性
ここまででご紹介してきたように、インターネット上の安全な接続に一役買っている「VPN」ですが、すべてのセキュリティリスクを排除することができるわけではありません。
VPNの抱える脆弱性を突いたサイバー攻撃の被害にあった企業も存在します。
ここからは、そんなVPNの抱える脆弱性を紹介していきます!
VPNプロトコルの脆弱性
VPNプロトコルの脆弱性は、考慮すべきリスクの一つです。
特定のプロトコルには既知のセキュリティホールや攻撃方法が存在し、攻撃者に悪用される可能性があります。例えば、古いプロトコルであるPPTPは、暗号化が弱く、容易に解読される恐れがあります。
また、L2TP/IPsecは設定が複雑で、誤設定により脆弱性を生むことがあります。これらのリスクを避けるためには、最新のセキュリティプロトコルであるOpenVPNやWireGuardを使用し、定期的にセキュリティアップデートを行うことが重要です。
VPNサーバーの脆弱性
VPNサーバーの脆弱性は、企業のセキュリティに重大なリスクをもたらします。
主な脆弱性には、不適切な設定、簡単に推測できる弱い認証情報、最新のセキュリティパッチが適用されていないソフトウェア、偽装されたサーバー証明書、DDoS攻撃による過負荷攻撃が挙げられます。
これらの脆弱性は、攻撃者がネットワークに侵入する足掛かりになり、データの盗難や改竄、サービスの停止などに繋がる可能性があります。対策としては、定期的なセキュリティチェック、強力なパスワードポリシー、ソフトウェアのアップデート、適切な設定が不可欠です。
VPNプロバイダーの接続ログ保存
VPNプロバイダーが接続ログを保存することは、ユーザーのプライバシーを守る観点から、大きなリスクになり得ます。
接続ログには、ユーザーのIPアドレスや接続時間、利用したデータ量などが記録されるため、これらの情報が第三者の手に渡ると、ユーザーのインターネット活動が特定される恐れがあります。
特に、法的要求やデータ漏洩の際に、これらのログが悪用される可能性があります。
そのため、接続ログを保存するか・保存しないのかも、VPNプロバイダー選びの基準の一つとして考えてもいいでしょう。
DNSリーク
DNSリークは、VPNの主要な脆弱性の一つです。
VPN接続中でも、DNSリクエストがVPNトンネルを経由せず、ISPなどの第三者に漏れることがあります。これにより、ユーザーがアクセスしているウェブサイトやサービスが特定されるリスクが高まります。
DNSリークが発生すると、VPNの匿名性が損なわれ、プライバシーが危険にさらされる可能性があります。この問題を防ぐためには、DNSリークを検出するツールの使用や、VPNプロバイダーが提供するDNSサーバーを利用することなどが推奨されます。
VPNの設定ミス
VPNの設定ミスは、セキュリティの大きな脆弱性を引き起こす可能性があります。
例えば、VPNの設定が不完全であったり、管理画面が外部からアクセス可能な状態にあると、攻撃者による不正アクセスのリスクが増します。
また、強度の低い認証情報を使用していると、ブルートフォース攻撃でアカウントが突破される恐れがあります。さらに、VPN接続に必要なサーバー証明書が偽造されると、中間者攻撃を受けるリスクも高まります。
これらの脆弱性を防ぐためには、VPNの設定を慎重に行い、定期的にチェックすることが推奨されます。
感染端末からの接続によるマルウェアの拡散
VPNがシステム内のマルウェア拡散に一役買ってしまうケースもあります。
例えば、VPN接続がセキュリティプロトコルに従って適切に設定されていない場合、攻撃者がネットワークに侵入しやすくなります。攻撃者が一度ネットワーク内に侵入すると、マルウェアを迅速に拡散させ、全社的な感染を引き起こす可能性があります。
特に、社員がリモートワークを行っている場合、不正なVPN接続を通じて企業のシステムにマルウェアが持ち込まれるリスクが高まります。これにより、データの盗難やシステムの破壊、さらには業務の中断など、重大な被害が発生する恐れがあります。
適切なVPN設定と定期的なセキュリティチェックは、このような脆弱性から企業を守るために不可欠です。
VPNの脆弱性を突いたサイバー攻撃の事例
ここまでで紹介したようなVPNの脆弱性を突いたサイバー攻撃によって、多大な被害を被った企業も少なくありません。
実際に起きたVPNの脆弱性を突いたサイバー攻撃の事例について見ていきましょう。
事例①:JAXA(宇宙航空研究開発機構)
こちら、2024/07/05にJAXAから出たプレスリリースからの情報をまとめたものになります。
昨年発生した、JAXA(宇宙航空研究開発機構)の不正アクセスによる情報漏洩は、VPN装置の脆弱性を突いて侵入してきた模様です。下記はプレスリリースから抜粋した侵害範囲になります。
- 第三者がVPN装置の脆弱性を起点にJAXAの一部のサーバ及び端末に侵入。先だって公表された脆弱性が悪用された可能性が高い。
- 侵入したサーバからさらに侵害を広げ、アカウント情報等を窃取。
- 窃取したアカウント情報等を用いて、Microsoft365に対して正規ユーザを装った不正アクセスを実施。
この件で流出した情報は下記の模様です。
- 侵害を受けたJAXAの端末・サーバに保存されていた一部の情報(JAXA職員等の個人情報含む)
- Microsoft365上でJAXAが管理していた情報の一部(外部機関と業務を共同で実施するにあたっての情報及び個人情報)
なお、『今年に入って複数回の不正アクセスが発生していますが、これらによる情報漏洩はないことを確認しています。昨年のインシデントを含めて、これらはいずれもVPN機器を狙ったものであることを確認しています。』とありますので、VPN機器(おそらく脆弱性)を狙った攻撃が続いているようです。VPNやネットワーク機器はこまめに脆弱性がないかをチェックし、アップデートや(EoLなどがあった場合には)リプレースを検討した方が良いですね。
より詳細な情報が知りたい方はこちらの記事をご覧ください!
事例②:CAPCOM(カプコン)
こちらは、CAPCOMから出た調査結果からの情報をまとめたものになります。
株式会社カプコンは、第三者からの不正アクセス攻撃を受け、保有する個人情報が流出しました。
調査によると、北米現地法人(Capcom U.S.A., Inc.)が保有していた予備の旧型VPN(Virtual Private Network)装置に対するサイバー攻撃を受け、社内ネットワークへ不正侵入された模様です。
既に別型の新たなVPN装置を導入済でしたが、同社の所在地であるカリフォルニア州における新型コロナウイルス感染急拡大に起因するネットワーク負荷の増大に伴い、通信障害等が発生した際の緊急避難用として、旧型VPN装置1台が残存しており、今回のサイバー攻撃の対象となりました。
流出した個人情報は流出を確認した個人情報は、累計は15,649人にものぼりました。
また、CAPCOMは再発防止に向けたセキュリティ強化策として、
- VPN装置全台について改めて安全性等を確認
- VPN装置および機器における、インシデント発生時の迅速な対処に向けたログの長期保存などの管理方法の更なる改善
などを挙げています。
より詳細な情報が知りたい方はこちらをご覧ください!
VPN利用に伴うセキュリティ対策
VPNは必ずしも安全なインターネット接続を保証してくれるものではありません。VPNの脆弱性を突いたセキュリティ事故を防ぐためには、適切な対策をとらなければいけません。
VPN利用時にできるセキュリティ対策について見ていきましょう。
セキュリティ設定を適切に行う
VPN接続時のセキュリティを確保するためには、VPN設定を適切に行うことが不可欠です。不適切な設定は、セキュリティリスクを招き、データの漏洩や不正アクセスの原因となります。
VPN設定を適切に行うための主要なポイントを下記に挙げたので参考にしてみてください。
- 推測されにくい強力な認証情報(ユーザー名やパスワードなど)を使用する
- 最新の比較的安全なVPNプロトコルを選択する
- サーバー証明書が正しく設定されているか確認する
- ファイアウォールを設定する(VPNトンネル外のトラフィックをブロックするため)
上記で挙げた設定を適切に行うことで、VPN接続時のセキュリティを強化することができます。
二要素認証を導入する
単一要素認証であるパスワード認証はセキュリティ強度の面で十分とは言えず、攻撃者からの不正アクセスのリスクがあります。
パスワード+ワンタイムパスワードなどの二つの要素を組み合わせて認証を行う「二要素認証」は、単一要素認証と比較してセキュリティ上のリスクを大幅に減らすことができます。
基本的には、会社でVPNを利用する場合は二要素認証または多要素認証で接続するようにしましょう。
DNSリーク保護を有効にする
DNSリーク保護は、VPN接続時にユーザーのプライバシーとセキュリティを強化するための重要な対策です。
DNS(Domain Name System)は、インターネット上でドメイン名をIPアドレスに変換する役割を果たします。
通常、インターネットサービスプロバイダー(ISP)が提供するDNSサーバーを使用しますが、VPN接続中にDNSリクエストがISPのDNSサーバーに送信されることがあります。これがDNSリークです。
DNSリークが発生すると、ユーザーがどのウェブサイトにアクセスしているかなどの情報がISPに知られる可能性があり、VPNの持つ匿名性が損なわれます。これにより、ユーザーのプライバシーが侵害され、追跡や監視のリスクが高まります。
DNSリーク保護を有効にすることで、これらのリスクを軽減し、VPNの効果を最大限に引き出すことができます。
信頼性の高いVPNプロバイダを選ぶ
信頼性の高いVPNプロバイダを選ぶことは、セキュリティを確保する第一歩です。
選定基準として、ノーログポリシー(接続ログやアクティビティログを保存しないこと)、強力な暗号化技術、そして高いプライバシー保護レベルを提供しているかどうかを確認しましょう。
ユーザーのセキュリティ意識の向上
正しく利用すればセキュリティリスクを減らすことができるVPNも、利用する従業員のセキュリティ意識が低いのでは、上手く効果を発揮することができません。
VPNを導入したとしても、従業員のセキュリティ意識が低いと、
- 定期的にセキュリティパッチやアップデートを適用しないことによって、既知の脆弱性が放置される
- VPN設定にミスがあり、情報漏洩などのセキュリティ事故が起きる
- 使いまわし・管理不足で、認証情報(ID、パスワードなど)が漏洩する
- VPN接続だから安心だと高を括って、不審なファイルを開いたり、リンクを踏んだりする
などの事態が発生する場合があります。
当然ですが、VPNも正しく利用しないと効果を発揮しませんし、VPN接続だから大丈夫だと考えるのはセキュリティ事故に繋がりますので、研修などによって利用ルールの周知を徹底するようにしましょう。
高品質なVPNを選ぶ
VPNは種類によって、通信速度や暗号化の複雑さ、環境設定の難易度などが異なります。
VPNサービスを利用する際は、
- 暗号化の複雑さなどのセキュリティ強度
- 費用などの利用料金システム
- 導入やサポート面の充実
などの要素を検討し、VPNを利用して何を実現したいのか、かけることができるコストなどと相談して、自社にとって最適なVPNを導入しましょう。
まとめ
いかがでしたでしょうか?VPNはセキュリティ強化のために導入されるものですが、VPNも万能ではなく、適切な設定を行わなければ、そこがセキュリティホールになる可能性もあります。
会社でVPN接続が義務づけられているケースでも、従業員がVPNを導入している目的や脆弱性について理解していないと、組織としてのセキュリティ意識はなかなか向上していきません。
なぜVPNを利用するのか、どのような仕組みで安全な接続を確保しているのか、VPNが抱える脆弱性とは何か理解を深めるようにしましょう。
VPNを利用する目的
- ユーザーが送受信するデータを第三者に盗み見られるリスクや不正にアクセスされるリスクを減らすため
- 地理的制限を回避して、特定の地域でのみ利用可能なコンテンツにもアクセスするため
VPNの仕組み(4つの要素)
- トンネリング:ユーザがデータのやり取りをする際に、通常のインターネットを通さず、専用のトンネル(通信経路)を通す仕組みのこと
- カプセル化:通信用に分割されたパケットを別のパケットで包むことで、データの秘匿性を上げる技術のこと
- 認証:トンネルに入ろうとしている利用者が、正当な利用者かを判別するための認証システムのこと
- 暗号化:トンネル間で送受信されるデータを暗号化して解読できないように変換すること
VPNを利用する上での脆弱性
- VPNプロトコルの脆弱性
- VPNプロバイダーの接続ログ保存
- VPNの設定が不完全
- 管理画面が外部からアクセス可能な状態にある
- DNSリーク
「未経験からでもホワイトハッカーになれる!」実践的セキュリティスクール「セキュ塾」
- サイバーセキュリティ技術者育成コース(2024年10月生募集中)
- ホワイトハッカー育成コース(2024年10月生募集中)
コメント