ウイルス感染

セキュリティインシデントから学ぶ
VPNのセキュリティリスクと対応

  • TOP
  • 課題から探す
  • セキュリティインシデントから学ぶVPNのセキュリティリスクと対応

法人のお客さまに起こりがちな状況

テレワークを急きょ行うことになったのでVPN機器を稼働させて全社テレワークに入ったら、同時接続数が足りなかった。

対策を考えていたところ、過去使っていた機器がまだ社内にあることが判明。

その機器も追加導入し、同時接続数を確保し、テレワーク体制を維持できるようになった。

情シスとして状況は容易に想像でき、かつ同じ環境であれば同様の対応を行う方は多いのではないでしょうか?

しかし、この対応を行った結果、情報漏えいにつながった事例があります。

今回は事例のご紹介と、VPNのセキュリティリスクについてご説明し、その対応策についてお伝えいたします。

製造装置メーカーの事例:古いVPN装置に存在した脆弱(ぜいじゃく)性

2020年8月25日、製造装置メーカーでVPN装置管理のためのユーザーIDおよびパスワードの流出が発覚したことがニュースとなりました。

社員の管理用IDとパスワード、そして他社情報(約900社)がネット上でダウンロード可能な状態となっていたようです。

原因はテレワークで急激に増えたVPN接続の負荷分散のために利用した古いVPN装置でした。

古いVPN装置には脆弱(ぜいじゃく)性が存在し、そこから情報が漏えいしたものとみられています。

社員のアカウントで31回の不正ログイン試行が見つかったが、社内の登録端末ではなかったため社内ネットワークへの侵入は確認されていないとのことです。

「ただ使っている」では安心できないVPNのセキュリティリスク

機密情報があるため社外からのアクセスにはVPNを使っているという企業は多いと考えられます。

またVPNによりセキュリティレベルは格段に高まり、手軽にセキュアな通信ができるようになったのは事実です。

一方、「VPNを使っている=その企業にとって外部に流出したら危険な機密情報がある」とも考えられるため、犯罪者からは標的としての価値がある側面は否定できません。

IT業界は日進月歩の業界であり、日々悪意を持った人間が、さまざまな情報機器の脆弱(ぜいじゃく)性を見つけ出しているため、「今まで大丈夫だったから」という理屈は通用しないのです。

VPN自体のセキュリティレベルが高くても、事例のように機器に脆弱性がある状態だったことに気づくことができなければ、セキュリティホールを突かれてセキュリティインシデントにつながってしまいます。

情シス担当としては積極的に情報収集を行い、自社が保有する情報機器、ひいては自社全体のセキュリティレベルを高めていくことが必要です。

セキュリティに関してはIPAのアナウンスにもある通り最新のパッチ適用が必須

セキュリティレベルを高めるためには、IPA(情報処理推進機構)が取りまとめている資料が参考になります。

例えばIPAのサイト内に掲載されている「日常における情報セキュリティ対策」には組織のシステム管理者に向けた項目があり、その中には「情報持ち出しルールの徹底」や「社内ネットワークへの機器接続ルールの徹底」の他、「修正プログラムの適用」を実施するよう記載されています。

基本とも言える対応ですが、忙しかったり緊急対応のためだったりとその時の優先順位が変わってしまいやすいのが運用の現実ではないでしょうか?

しかし、その基本的な内容がおろそかになってしまった結果、脆弱(ぜいじゃく)性を持った状態での運用が日常となってしまうのも情報セキュリティの怖いところです。

VPNは一度内部に入られてしまうと自由に機密データを操作可能

一般的にVPNは拠点間通信を安全に行うことを目的としているため、安全性が確保されているのはあくまでも端末間通信に対する外部からの攻撃であり、やり取りされるデータ自体の安全性は見ていません。

そのため、もしネットワーク内部に入られてしまえば、接続先の機密情報を自由に持ち出すことが可能となり、重大なセキュリティインシデントとなります。

2019年に伊丹空港で手荷物検査刃物を見逃してしまい、大きなニュースになったことがありましたが、分野こそ違えど、問題としてはほぼ同様の構図といえます。

認証方式がIDとパスワードのみで行われているのであれば、何らかの方法でリストを取得するだけで容易に社内ネットワークにアクセス可能になってしまうためです。

事例で挙げた脆弱(ぜいじゃく)性を突く方法の場合は、社内で登録された端末しかアクセスできないように複数の認証方式を用いていたため難を逃れることができました。

しかし、マルウェアによってクライアント端末自体の操作権を奪うなどの方法も存在します。

そうした場合はID/パスワードの認証と端末認証の両方をクリアしているため、機密情報にアクセスされる可能性が非常に高いと言えます。

VPNを利用する場合のリスクは、VPN単体にとどまらないのが現実と言えるのです。

VPNサービスを利用する場合は与信確認をしっかりと

VPNの利用方法は、VPN機能が付いたルータを使う方式や、VPN専用機器を利用する方法の他、外部のVPN接続サービスを利用する方式もあります。

現代において、セキュリティに関わる部分は事業の根幹に関わるといえ、もし予算の捻出が難しくフリーのVPNサービスを利用しなければならないケースなどであれば、きちんとリスク管理を行わなければなりません。

利用規約の確認はもちろん、それ以外の面でもメリットとデメリットをきちんと確認し、与信確認をしっかりと行ったうえでの判断を心がけましょう。

必要なのはゼロトラストの意識と対応

この度事例として取り上げている製造装置メーカーが、社内ネットワークへの侵入は防ぐことができたのは、社内ネットワークへ接続するための認証をID・パスワードによる認証に加えて端末認証と言う2段階認証で行ったことが奏功したといえそうです。

同様に、クライアント自体のセキュリティを高めることやOSへのログインに設定するパスワードを強固なものにするなどの対応、その他全方位的なセキュリティを高めていくことによって、VPNに限らず何かしらのインシデント発生時のリスクを低減することが可能になります。

情シス担当としてパッチの適用は当然として、OSの定期的なアップデート、そして社員ごとの適切な権限設定を行うことで、「万が一の漏えい時のダメージコントロール」を行うことが可能になります。

ゼロトラストの意識を持って「これはやっているから大丈夫」ではなく「これが破られたらどうなるか」を意識して、自社の情報セキュリティレベルを高める意識を持ちましょう。

全方位型セキュリティによる防御でVPNのセキュリティリスクも低減

セキュリティの例えでもよく用いられると思いますが、「木のおけの水位は、最も低い木の板の高さになる(ドベネックの桶)」という側面は否定できません。

VPN単体のセキュリティリスクとしては本稿で紹介したように「最新のパッチを当てて脆弱(ぜいじゃく)性をなくす」、「ID・パスワードを強固なものにする」、「認証を複数段階で行う」などによって、ある程度高めることが可能です。

しかし、「クライアントそのもの」が乗っ取られた場合は、そのセキュリティ対策も水の泡になる可能性があります。

「EMOTET」を始めとしたマルウェア感染やPC端末の置き忘れなど、さまざまなクライアント乗っ取りの可能性があり、情シス担当は可能性を洗い出したうえで対策を練らなければならないのが、いま直面している現実です。

だからこそ、クライアント自体を守ったり、社員の意識を高めたりすることが、非常に重要な要素となります。

情シス担当としては今回ご紹介したVPNの事例や状況を見直すと同時に会社全体の体制の見直しを行うべきであると考えます。

トレンドマイクロからのアドバイス

クライアント端末の総合的なセキュリティ体制を整えるには、まずは端末の保護、さらにはEMOTETに代表されるマルウェア感染に対する対策も必須となります。

トレンドマイクロでは、併用していただくことで端末全体のセキュリティレベル向上に寄与するさまざまなソリューションをご用意しています。

自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。

VBBSS:ウイルス・スパイウェア対策からデバイスコントロールまでオールインワン

ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は、中小企業・中堅企業に求められるセキュリティ機能をオールインワンで持ち合わせ、さらに管理者の負担を軽減できる「軽くて・強くて+管理負担が少ない」セキュリティ製品です。

特にEMOTETに対しては、挙動監視、機械学習型検索、Webレピュテーション機能が有効です。

CAS: 高度な脅威からクラウドメールサービスのメールやファイル共有サービス上のデータを保護

Trend Micro Cloud App Security(CAS)はランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出。

ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラムも検出できるメール・コラボレーションセキュリティ製品です。

※すべての未知の脅威に対応するものではありません

この課題を解決する製品

導入前の製品や購入に
関するお問い合わせ
ご担当者様の課題解決を電話やメールで受け付けます。
製品や購入に関するご不明点がある方はお気軽にご相談ください。

導入前の製品や購入に関する
お問い合わせ

オンライン見積り
トレンドマイクロのセキュリティ対策製品のお見積りを
オンラインでご確認いただけます。

オンライン見積り