不正アクセス事例に学ぶ、VPNの弱点とゼロトラスト移行の重要性
テレワークの普及に伴い、社外から社内システムへアクセスするための「VPN(仮想専用線)」の利用は、多くの企業にとって当たり前のものとなっています。しかし現在では、安全な通信手段とされてきたVPNが、サイバー攻撃者にとって好都合な攻撃の入口(セキュリティホール)となっていることをご存じでしょうか。
この記事では、VPN機器を狙う不正アクセスの最新手口や、境界型防御が通用しなくなった背景、実際の不正アクセス事例のほか、認証強化の切り札となる「多要素認証(MFA)」について解説します。
目次
VPN機器を狙う不正アクセスの最新手口
かつてはセキュアな通信の代名詞であったVPNですが、現在ではその機器自体が攻撃の格好の標的となっています。特に、古いファームウェアのまま運用されているVPN機器は危険です。まずは、攻撃者がどのようにしてVPNを突破してくるのか、その代表的な手口を解説します。
脆弱性パッチ未適用のリスク
VPN機器のメーカーからは、セキュリティ上の欠陥(脆弱性)が見つかるたびに修正プログラム(パッチ)が配布されています。しかし、パッチが適用されていなければ、管理者がアップデートを怠っている間に、攻撃者は社内ネットワークへ侵入してしまいます。
単純なパスワード認証の限界
VPN接続時の認証が「IDとパスワードのみ」である場合、攻撃者によって突破されるリスクは極めて高くなります。攻撃者は、他のサービスから流出したID・パスワードのリストを使って手当たり次第にログインを試みる「リスト型攻撃」や、単純なパスワードを機械的に試行する「総当たり攻撃」を仕掛けてきます。単純なパスワード認証だけでは、もはや高度なサイバー攻撃を防ぐ防波堤にはなり得ないのが現実です。
境界型防御が通用しなくなった背景
従来のセキュリティ対策は、社内と社外の境界にファイアウォールなどを設置し、「社内のネットワークは安全である」という前提に基づく「境界型防御」が主流でした。しかし、クラウドサービスの普及や働き方の多様化により、この前提は崩れ去っています。ここでは、境界型防御が通用しなくなった背景について見ていきましょう。
クラウド利用が常態化した現在
多くのビジネスパーソンは、クラウドを利用した情報共有を当たり前に行っています。ただ、守るべき情報資産が社外(クラウド)にも存在するようになった今、単にVPN機器を管理するだけでは不十分です。
現在のビジネス現場においては誰が、どの端末から、どのデータにアクセスできるかを制御する「ID管理」や「認証ルール」を策定し、その方針を文書化して運用することが求められています。これからのセキュリティ対策、とりわけゼロトラストセキュリティの導入においては、ツールを入れるだけでなく、運用ルールまで含めて整備されているかが、企業の信頼性を測る評価基準となっていくでしょう。
テレワークによる社内ネットワークの拡散
テレワークが常態化したことで、社員は自宅やカフェ、コワーキングスペースなど、さまざまな場所から社内システムにアクセスするようになりました。この状況は、かつてオフィスという物理的な壁の中に守られていた社内ネットワークが、セキュリティレベルの不透明な社外の環境まで広がってしまったことを意味します。
「社内」と「社外」の境界線が曖昧になったことで、従来の境界型防御で侵入を防ぐことは物理的に不可能になっています。
クラウド利用拡大とVPNのボトルネック
Web会議システムやMicrosoft 365といった、インターネット経由でソフトウェアを提供するSaaSの利用が急増したことも、既存のネットワーク構成に限界をもたらしています。テレワーク環境からすべての通信をVPN経由で社内ネットワークに集約させると、VPN機器や回線の帯域が逼迫し、通信速度の低下や接続の不安定さを招きます。これはいわゆる「VPN渋滞」といわれており、セキュリティの問題以前に、業務効率を著しく低下させる要因となり、現場の生産性を妨げる深刻な課題のひとつです。
そのため、現場の従業員は各々が独自のネットワークを利用してクラウド活用をしている状況が現実となっています。
事例解説:VPNの死角を突かれた被害実態
VPNに脆弱性があったり、管理が甘かったりすると、実際にどのような被害を招くのでしょうか。ここでは、VPN機器や認証の隙を突かれた実際の不正アクセス事例を紹介します。
事例1:VPN経由でランサムウェア感染
ある電子機器メーカーは、旧型のVPN機器に残存していた脆弱性を突かれ、外部からの不正侵入を許しました。攻撃者は社内ネットワーク内で感染を広げ、結果としてランサムウェアによりサーバー内のデータを暗号化します。これにより、複数の工場で生産ラインが一時停止に追い込まれるなど、事業継続に深刻な影響が生じました。パッチ適用が遅れていたVPN機器が、ランサムウェアを引き入れる「裏口」となった典型的な事例といえるでしょう。
事例2:ID管理の甘さにつけ込むなりすまし
ある国内大手IT企業では、業務委託先の従業員が使用していたPCがマルウェアに感染し、そこからID・パスワードなどの認証情報が窃取されました。攻撃者は盗んだ認証情報を使って正規のユーザーになりすまし、VPNを通じて社内システムへアクセス。この結果、従業員や取引先に関する約30万件以上もの個人情報が漏洩する事態となりました。ID管理の徹底や認証強度の見直しが不足していたことが、委託先経由での大規模な情報漏洩につながった事例です。
脱VPNを実現するゼロトラストセキュリティ
VPN機器の脆弱性リスクや通信渋滞といった課題を解決する最適解として、現在主流になりつつあるのが「ゼロトラストセキュリティ」という考え方です。これは「社内(境界の内側)なら安全」という従来の常識を捨て、「すべての通信を信頼せず、常に検証する」という概念に基づいています。ゼロトラストセキュリティを進めていけば、VPNへの依存度が下がり、場所を問わず安全に業務ができる環境の構築を目指せます。
インターネットへ直接接続するZIAとZPA
ゼロトラストセキュリティを実現する具体的な仕組みとして、クラウド型のプロキシ(仲介役)を通す方法があります。代表的なソリューションであるZscaler(ゼットスケーラー)を例に挙げると、大きく2つの機能があります。
WebサイトやSaaS利用時に、社内ネットワークを経由せず安全にインターネットへアクセスする「ZIA(Zscaler Internet Access)」と、社内システムへのアクセスをクラウド経由で行い、VPNを使わずに安全な接続を提供する「ZPA(Zscaler Private Access)」です。これらを活用することで、VPN機器の脆弱性リスクを排除しつつ、通信のボトルネックも解消できます。
場所を問わず同一のセキュリティポリシーを適用
クラウド経由でセキュリティチェックを行う最大のメリットは、「場所」に依存しないことです。オフィスにいても、自宅や外出先にいても、すべての通信が同じクラウドプロキシを通過すれば、常に同一のセキュリティポリシーを適用できます。「出社時は守られているが、テレワーク時は個人のリテラシー任せ」といった管理の穴をなくし、どこで働いていても一貫したセキュリティ強度を維持することが可能になります。
認証強化の切り札となる「多要素認証(MFA)」
ゼロトラストセキュリティの基本原則である「決して信頼せず、常に検証する」を実践する上で、最初に取り組むべきは認証の強化です。VPN機器を狙う攻撃の多くは、盗まれたIDやパスワードを使った不正ログインを行います。このリスクを根本から断つためには、「正しいユーザーからのアクセスであるか」を厳格に確認する仕組みが不可欠です。
パスワードだけに頼らない認証方式
従来のIDとパスワードだけの認証は、ひとたび情報が流出すれば誰でもなりすましが可能でした。そこで有効なのが、利用者のスマートフォンアプリによる承認や、指紋・顔認証などの生体情報を組み合わせた「多要素認証(MFA)」です。
「知っている情報(パスワード)」に加え、「持っているもの(スマホ)」や「生体情報」という異なる要素を組み合わせることで、万が一パスワードが漏洩しても、攻撃者による不正侵入を食い止めることができます。
場所や端末を限定する条件付きアクセス
MFAによる本人確認に加え、さらにセキュリティレベルを高めるのが「条件付きアクセス」です。これは、Microsoft Entra ID(旧Azure AD)などのID管理基盤を活用し、アクセス時の状況(コンテキスト)に応じて許可・不許可を判断する仕組みです。
例えば、「会社が支給したPCからのアクセスのみ許可する」「海外IPアドレスからの接続はブロックする」「OSのバージョンが古い端末は拒否する」といった条件を設定できます。これにより、認証を通過した正規のユーザーであっても、リスクのある環境からのアクセスを遮断し、情報漏洩のリスクを最小化します。
VPN依存から脱却し、ゼロトラストセキュリティへの移行を
巧妙化する不正アクセスを防ぐためには、もはやVPN機器のアップデート管理だけでは不十分です。多要素認証(MFA)と、境界防御に頼らないゼロトラストセキュリティ型ネットワークへの移行は、現代の働き方におけるセキュリティ対策の必須条件といえます。
しかし、ゼロトラストセキュリティへの移行は、VPNやMFAといったツールを導入すれば完結するものではありません。アクセス制御のポリシー策定や、従業員への教育、そして新たな運用ルールの定着化までを含めた包括的な取り組みが必要です。
コニカミノルタジャパンの「ガイドライン対応サポートアカデミー サイバーセキュリティ対策パッケージ」では、ゼロトラストセキュリティ移行を見据えた方針の策定から、ツールの導入・運用、組織への定着化までをトータルで支援します。経済産業省によるSCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)の開始も迫っています。「経済産業省の評価制度を見据えて管理体制を強化したい」とお考えであれば、まずはこちらの資料をご覧ください。
