利用前に知っておきたい「VPNの危険性」とは?VPNセキュリティ事故の事例や仕組みを併せて紹介!

VPNの選び方

パソコンや携帯端末にVPNを導入することでセキュリティの強化が見込まれるため、個人でも導入を検討する方が増えています。特に、所属する企業がテレワークを推進している場合、自宅から社内の情報へアクセスする機会が生まれ、VPNの需要は高まっています。

新型コロナウイルスの流行をきっかけに、急速なテレワークの導入を進めたため、古いVPN機器を使用した企業も多いかと思います。古いVPN機器は、セキュリティソフトやOSがアップデートされていないケースが多く、脆弱性を放置している状態も珍しくありません。

今回はVPNを利用する前に知っておきたい「VPNの危険性」について解説しています。実際に被害が発生したVPN事故の例も併せて参考にしてください。

当サイトは日本人の視点から安全なVPNサービスを紹介するサイトです。海外に在住した経験がある私が、使いやすさと安さを兼ね備えたVPNを厳選しています。

VPNのセキュリティと仕組み

世間一般的に「VPN」という一つの言葉にまとめられていますが、VPNにもセキュリティを強化する仕組みがあることをご存知でしょうか。「VPNはセキュリティを強化するもの」と思われていますが、本来のVPNの目的は「拠点間の通信を安全にする機能」です。

例えば、自宅のWi-Fiをそのまま利用するのであれば、VPNの必要はありません。反対に、自宅から社内のネットワークにアクセスする場合や自宅から学校のデータベースにアクセスする場合は、拠点間の通信に該当するため、VPNの必要性が生まれます

VPNの仕組みで代表的な「トンネリング」も拠点間の通信を安全に行うために重要な役割を果たしています。ここではVPNのセキュリティを強化している仕組みをご紹介します。

トンネリング

トンネリング」とは、VPN、およびネットワーク接続における拠点間の通信に、仮想の回路(トンネル)を形成する技術です。トンネルを形成することで、外部から遮断されたネットワークを確立でき、安全な通信を行うことが可能です。

トンネリングによって、物理的に離れているWi-FiルーターやLANなどの拠点間の通信はトンネルを通じて、プライベートネットワークとして通信ができます。これらを可能にするサービスが「VPN」です。

また、通信されるデータ(パケット)を、包み込んだ一つのデータにまとめる「カプセル化」も同時に進行されます。簡単に説明すると、送信先に複数のダンボール箱をそのまま送るのではなく、一つのダンボールにまとめる作業が「カプセル化」です

通信の暗号化

通信の暗号化」は、トンネル内で通信されるデータに、仮想的な鍵をかけ、セキュリティを高める機能です。通信されるデータを第3者にハッキングされた場合でも、個人情報の漏えいや改ざん、データの窃取を防ぎます。

VPNにおける暗号化にはいくつか種類が存在し、PTPPやSSL/TLS、IPsecなど用途で使い方が左右されます。

認証

認証」は、送信者と受信者のお互いが正しい相手かを確認する技術です。IDやパスワード方式の導入により、セキュリティ性能を大幅に高めることができます。

万が一、通信する相手がなりすましや悪意のあるソフトウェアの場合、ウイルス感染やデータの改ざんの可能性があります。信用性の高い相手かどうかを知るための技術が「認証」です。

多くのVPNサービスはパスワードやIDによる認証が一般的ですが、より強力な「電子証明書」を利用した認証があります。

VPNの脆弱性とは

VPNの脆弱性」とは、簡単に説明するとセキュリティの欠陥や弱点を指します。VPNの脆弱性を利用したサイバー攻撃により、内部データの漏えいや個人情報の抜き取りが発生します。

新型コロナウイルスの流行により、企業がテレワークを導入し始めた2019年から2020年前後にサイバー攻撃の件数は大幅に増加しており、その多くはVPNの脆弱性を利用した攻撃でした。現在、VPNの脆弱性は対策されつつありますが、当時、企業側がメーカーからリリースされたアップデートの実行が遅れ、脆弱性を放置したことが原因とされています。

現在でもテレワークの導入を進める企業は増えており、自宅から社内の情報へアクセスする機会が増えています。企業側は、メーカーから提供されているアップデートの確認を怠らず、脆弱性のチェックを欠かさず行いましょう。また、個人でもVPNの導入を検討し、拠点間の通信の安全を確保することが重要です。

ウイルス感染による影響と危険性

コンピューターウイルス」は電子メールやホームページの閲覧、悪意のあるソフトウェアに触れることでコンピューター内に侵入する不正プログラムです

ウイルスは端末内で増殖を続ける特性を持っており、メッセージの表示や画像の表示など「危険度の少ないウイルス」から、データの改ざんや消去、コンピューターの起動阻止に追い込む、「極めて危険度の高いウイルス」まで存在します。

利用者が意図しない悪意のあるソフトウェアは、ランサムウェアやスパイウェア、トロイの木馬などと呼ばれます。最近は総称として「マルウェア」とも呼ばれ、VPNの保護機能に「マルウェア保護」を採用する事業者も。

ウイルスの危険性は、その特性にもある「増殖」する点です。ウイルスに気がつかずパソコンを使い続けることで、他人のパソコンや内部データにウイルスが広がってしまい、二次感染のリスクが発生します。中には、パソコン内に保存されているアドレスや電話番号へ汚染されたファイルを自動送信するウイルスも確認されています。

ここではウイルス感染の種類を併せてご紹介します。

ファイル感染型ウイルス

ファイル感染型ウイルス」は、電子メールに添付されたファイルやサイト内のファイルをダウンロード・開封することで感染するウイルスです。ファイル感染型ウイルスには2種類存在し、不正なコードを上書きする「上書き型」と不正なコードを追加していく「追記型」に分かれます。

実行ファイルの拡張端子であるCOMやEXEに付着し、コンピューターの制御を奪います。ウイルス感染に気がつきにくい特徴を持っており、知人や家族の端末にファイルを共有してしまうケースも。

実行ファイルの拡張端子である「.com」や「.exe」が付いている、身に覚えのないファイルは開封・ダウンロードしないよう心がけましょう。主な被害として「迷惑メールの大量送信」や「プログラム変更」などが挙げられます。

マクロ感染型ウイルス

マクロウイルス」は、名前の通り「Microsoft Office」が提供するWordやExcel、PowerPointなど、オフィスソフトのマクロ機能を悪用して増殖するウイルスです。普段からオフィスファイルを利用する方が、誤って開封してしまうケースが多く見受けられます。

普段利用しているオフィスファイルと同じアイコン、拡張端子であるため見極めるのが難しく、結果的に悪意のある動作を自身で操作してしまいます。普段注意しながら操作している方でも、だまされやすいウイルスです。

Officeで作成されたファイルを開封・ダウンロードする際は、必ず作成者や安全性を確認した上で開封しましょう。主な被害として「内部データの破壊」や「他のマルウェアへの感染」、「不正利用」などが挙げられます。

ワーム型ウイルス

ワームウイルス」は、ネットワークを介して使用者の端末内に侵入し、情報の窃取やマルウェアのダウンロードを行うウイルスです。ワームウイルスは自己増殖能力を持っており、感染したと認識できるほど被害が明確にわかる特徴があります。

スマートフォンを利用する方が一度は目にしたことがある「このURLは安全ではありません」という警告は、ワームウイルスを含むサイトを警告しています。

他のウイルスとは違い自己増殖ができるため、一つのウイルスでコンピューターを破壊できる点が大きな違いでしょう。過去に最もウイルス感染を引き起こしたのも、このワームによる感染です。

他のウイルス同様、メール経由での感染やファイル感染、インターネットのIPアドレス経由での感染例があります。増殖するスピードが早く、厄介なウイルスと言えます。

トロイの木馬型ウイルス

トロイの木馬型ウイルス」は無害なプログラムやアプリケーション、サイトなどに偽装し、感染を引き起こす悪意のあるプログラムです。ユーザーに対して、無害なサイトに化けているため、インターネット知識が薄い高齢者も被害にあっています。

トロイの木馬の由来は、ギリシャ神話に登場するトロイア戦争がモチーフとなっており、「​​トロイアを陥落させるための装置」として利用されました。木馬の中には人が隠れられるように細工がされており、相手を巧妙に陥れる罠として「トロイの木馬」と呼ばれます。

そのため、感染する経路は、相手に危険と認識されずダウンロードさせることが目的です。

感染することで、「パソコンの乗っ取り」や「攻撃者としてパソコンが利用される危険」があります。その他にも「データの抜き取り」や「改ざんの被害」も見受けられます。

VPNのセキュリティ事故と事例を紹介

VPNのサイバー攻撃で狙われやすいのは、企業と取引先の情報が含まれる社内情報です。愉快犯の場合もありますが、その多くは社内情報を抜き取り、悪用される危険性が含まれています。

盗まれた情報は「ダークウェブ」で取引されており、盗まれた情報を完全に取り返すことは不可能です。企業でセキュリティ事故が発生した際、パスワードやIDを全てリセットする必要があり、企業に甚大な被害を与えます。

ここでは、VPNのセキュリティ事故と事例を紹介しています。いずれもVPNセキュリティの脆弱性を利用した不正アクセスのため、しっかり対策を行うことで防げる例ばかりです。セキュリティの脆弱性が、いかに危険かを知るためにもぜひ参考にしてください。

2020年:900社の認証情報漏えい事故

2020年8月、米国製のVPN機器を使用していた日本国内外900社以上のVPN情報が漏えいする事故が発生しました。狙われた脆弱性は「VPN装置上の任意のファイルを外部から読み出せるもの」。日本企業の40〜80社にも影響が出ています。

2019年3月に同社のVPN機器の脆弱性が報告され、メーカー側がアップデートを提供していました。しかし、漏えいした900以上の企業はアップデートの対応が遅れてしまい、脆弱性を放置したことで漏えい事故が発生する結果に。

悪用された場合、VPN機器経由で社内ネットワークに接続され、さらなる情報の漏えいも考えられます。

2020年:大手ゲーム会社のVPN経由不正アクセス事故

2020年11月、大手ゲーム会社「CAPCOM」がVPN経由の不正アクセス被害を受けたと報告されています。顧客情報や株主情報など約16,000人の情報が漏えいする事故につながる結果となりました。

原因は、新型コロナウイルスの流行に伴い、社員のテレワークを推進。その際に、緊急対応で導入した旧型のVPN機器の脆弱性を利用したサイバー攻撃だと明らかにしています。

2022年:VPN経由のランサムウェア事故

2022年10月、大阪急性期・総合医療センターは、VPN経由のランサムウェアによるシステム障害の被害を受けました。

病院内に設置されたサーバーを利用し、取引先企業と患者の食事に関する情報をやり取りしていましたが、脆弱性が残る古いVPN機器を利用し続けたことで、ランサムウェアの侵入を許す結果に。

サイバー攻撃により、患者の食事情報や個人情報、カルテなどが暗号化されてしまい、自由に取り出すことができない被害が発生しました。

VPNのセキュリティ事故を防ぐ対策

VPN機器を提供するメーカーは、脆弱性を利用したサイバー攻撃が増え続けていることを警告をしています。しかし、サイバー攻撃の被害を受ける方は個人・法人に関わらず、減少しません。

その背景には「自分は大丈夫」といった考え方が根強く残っているためと思われます。近年、企業がテレワークの導入を進めており、働き方に自由が生まれる反面、日本のセキュリティ意識をより高める必要があるでしょう

自宅から社内情報にアクセスする機会が増えるため、社員自身が情報漏えいを引き起こす可能性も高くなっています。

ここではVPNのセキュリティ事故を防ぐ対策を紹介しています。

セキュリティソフトの導入

VPNと並行してセキュリティソフトを導入することで、マルウェアやウイルスの脅威からコンピューターを守ることができます。ウェブサイトの閲覧やメールの送受信に利用されるセキュリティソフトですが、VPNと併用することで、より強力な対策を行うことが可能です

セキュリティソフトの導入を進めていき、導入後は、定期的にソフトウェアをアップデートするなどの対策が不可欠です。アップデートを怠ると、脆弱性を放置することになり、サイバー攻撃のリスクも高まります。VPN機器やセキュリティソフトを提供するメーカーのホームページを定期的にチェックし、脆弱性を放置しないことが重要です。

また、サイバー攻撃の脅威によって、セキュリティソフトの内容やファイアウォールなどの各種セキュリティ機器を組み合わせましょう。

認証システムの強化

VPNは、元々セキュリティを高める目的で導入されますが、万が一、VPN機器内に不正アクセスされた場合、社内の情報へアクセスされる危険性があります。そういった危険なセキュリティリスクを回避するためにも、複数の認証システムを導入・強化することで対策が可能です

VPNの不正アクセス被害の多くは「セキュリティの認証システムの甘さ」にあります。IDとパスワードの認証方法では、第3者の介入によるサイバー攻撃のリスクが残ってしまいます。

不正アクセス被害を防ぐために「電子証明書」をインストールしておくことで、電子証明書とパスワード認証の二重認証を構築し、不正アクセス被害のリスクを大幅に減らすことが可能です

電子証明書のインストールされていない端末からの「社内情報へのアクセス」や「社員によるウイルスの拡散」を予防する場合にも、有効的な手段と言えます。

現在、テレワークを導入する企業は増え続けており、VPNの需要が増えています。テレワークで使用する社内端末に電子証明書をインストールしておくことで、パスワードのみの認証よりも安全な認証が可能です。

利用者のセキュリティ意識を高める

ウイルスの拡散は、社員や利用者が知らない内に広めてしまったケースが多く報告されています。電子証明書の導入や最新のセキュリティソフトを導入しても、端末利用者のセキュリティ意識が低いままでは、結果的にセキュリティリスクを高めます。

テレワークの導入により、働き方に自由が生まれている反面、企業の情報漏えいリスクやVPNの危険性を社内教育で周知することが重要です

テレワークの導入を推進した結果、自宅から社内の情報へアクセスする機会が増えており、サイバー攻撃の件数も増え続けています。「VPNを使用すること」を伝えるのではなく、「無料VPNは情報漏えいのリスクが高まるので使用しないこと」と具体的に伝えましょう。

サイバー攻撃はVPN機器経由で発生する場合もありますが、そのほとんどは利用者がセキュリティ意識を高めるだけで防げた例も多く見受けられます。

企業側は社内教育を通じて、VPNの危険性やセキュリティリスクなどを周知させることが重要です。また、社員や利用者は常に情報漏えいのリスクに晒されていることを理解し、それぞれがセキュリティ意識を高めることが重要です

タイトルとURLをコピーしました