数年前から進む働き方改革や、新型コロナウイルス感染症の流行による新しい生活様式により、在宅でテレワークを行う際に社外から社内ネットワークにアクセスするためのVPNが不可欠になる一方で、そのVPNへの不正アクセスも増加傾向にあります。本記事では、VPNの仕組みや不正アクセス事例を通じて、セキュリティ強化に有効な対策を紹介します。

VPNの仕組みとは

VPNは「Virtual Private Network」の略称で、インターネットなどの公衆回線に仮想の専用回線を設け、特定の人のみが利用できる仕組みです。社外からインターネットを利用して会社のネットワークに接続したい場合、インターネット上の不特定のコンピュータを通過させてしまうと、悪意のある第三者に社内データにアクセスされてしまうほか、ネットワークを盗聴されてしまうリスクがあります。

このような不正アクセスや盗聴を防ぐために、インターネットの中にトンネルを掘るような「トンネリング」と呼ばれる仮想のネットワークの構造を作ることで、外部の通信を遮断します。トンネルの中に流れるデータ(パケット)を暗号化して、不正な第三者からの盗聴も防ぐことが可能になります。かつてはこうした仕組みは専用線で実現されていましたが、VPNは専用線より遥かに安価なコストで安全性の高い接続が利用できるようになり、様々な企業に幅広く利用されています。

そんなVPNで利用されている暗号化の仕組みは以下2つが挙げられます。

(1)SSL-VPN(セッション層で暗号化)

SSLで通信を暗号化するVPNです。SSL「Secure Sockets Layer」によって、ブラウザとサーバ間の通信を暗号化します。複雑な設定が不要で、PCやスマホのウェブブラウザから利用できるため、導入負担が少ないメリットがあります。
しかし、ブラウザベースの通信が基本であり、ネットカフェなどにある共用PCからでも社内ネットワークに接続できてしまうため、通信は暗号化されていても、データの使用履歴から情報漏洩するリスクがあります。そのため、ユーザ認証や端末認証との併用が必須です。

(2)IP Sec-VPN(IP層で暗号化)

IP層で通信を暗号化するVPNで、本社と支社など拠点間を接続する際によく利用されています。ブラウザやアプリケーションなど利用するソフトウェアや通信の種類に関係なく、あらゆる通信を暗号化するのに最もセキュリティ性の高い接続方式として利用されています。一方で、専用のソフトウェアのインストールなど事前準備が必要です。

VPNへの不正アクセス事例

VPNはテレワークを支えるためにはなくてはならないものになっていますが、その便利さや手軽さの裏に大きなリスクも抱えています。特に、新型コロナウイルス感染症の広がりによって、急速に在宅勤務の環境を整えた企業の中には、社内体制やVPN環境の整備を不十分なままにしてしまったことで脆弱性を突かれる不正アクセス事例も増えています。

最近発生したVPNへの不正アクセスの大規模な事例について触れてみます。

警察庁の不正アクセス事例
警察庁は2020年11月27日、庁内で業務に利用する端末1台が1年以上前から不正アクセスを受けていたことを発表しました。複数のIPアドレスから合計46回の不正アクセスが行われていたと報告しています。警察庁では被害端末を物品購入などの発注用端末として使用していました。他のネットワークや通信機器との接続はありませんでしたが、VPNを通じて被害端末から業者とのやりとりを行っていました。不正アクセスを仕掛けた人物は何らかの手段でこのVPNのパスワードを入手し、不正に情報を閲覧しようとした可能性があるとしています。具体的なVPN機器は明らかにされていませんが、機器の脆弱性を利用してハッキング攻撃を行い、パスワードを入手したとみられています。
三菱電機の不正アクセス事例
2020年5月、三菱電機への大規模なサイバー攻撃が発生し、不正アクセスの起点がVPN通信機器へのハッキングだった可能性が高いことが判明しました。ネットワークに侵入した中国系ハッカー集団が、防衛に関する機密情報や個人情報を流出させたとされています。同社によると、中国拠点のPCで外部との不審な通信がないか調べたところ、中国国内にあるデータセンターに設置されたVPN装置に不正アクセスの痕跡が見つかりました。そのVPN装置は海外と日本の拠点をネット回線で接続する役割があり、この装置へのハッキングが社内ネットワークへの侵入のきっかけとみられています。

不正アクセスを防ぐための対策

実際に起きた不正アクセス被害は、いずれもVPNへ接続する際のセキュリティが甘かったことが原因です。VPNへアクセスする際、IDとパスワードのみの認証方法だと、悪意のある第三者によりVPNを突破され、情報漏洩などの大きな被害を生むリスクがあります。
このような不正アクセス被害を防ぐためには、テレワークなど社外で使用する端末にあらかじめ電子証明書(クライアント証明書)をインストールしておくことによって、パスワード認証に電子証明書認証を加えた二要素認証にする方法が考えられます。

クライアント証明書とは、個人や組織を認証した上で発行される電子証明書を指します。SSLサーバ証明書はサーバにインストールし、ウェブサイトの所有者の実在性を認証しますが、クライアント証明書は、社内のサービスやメールを利用する正規なユーザの利用端末に証明書をインストールし、そのユーザが正規利用者であることを認証するものです。
クライアント証明書を用いることで、あらかじめ証明書がインストールされた端末からのアクセスだけが許可され、パスワードのみの認証よりも安全な認証が可能となります。また、証明書がインストールされていない私用端末から、システムにアクセスしてウイルスなどを拡散するといったポリシー違反も未然に防止することができます。

ill_vpnsecurity_210406.png

VPNを利用したテレワークは便利な反面、IDとパスワード認証のみで運用をしていると、不正アクセスによりパスワードが漏洩した時、重要なデータを持ち出されるなど大きな被害を生む危険性があります。被害を受けてからでは遅いため、多要素認証によるVPNのセキュリティの強化は、VPNを利用する際に考える最優先事項です。

トピック関連記事

#

2023年03月30日

Salesforceの多要素認証(MFA)必須化に対して、クライアント証明書での対応方法を解説

#

2024年05月02日

クライアント証明書を個別に発行すべき理由 ~共有時のリスクを徹底解説~

#

2021年05月10日

各業界のデジタルトランスフォーメーション (DX) 事例から考える有効な情報セキュリティ対策

この記事を書きました

グローバルサインブログ編集部

グローバルサインカレッジ編集部
所属:GMOグローバルサイン マーケティング部
当サイトの運営・管理を担当。