2021.4.14

VPNは危険？情報漏洩事故から見るセキュリティ対策の重要性と手段

テレワークの普及が加速するなか、 VPN（仮想プライベートネットワーク）を利用する企業は増加しています。しかし一方で、VPN製品を狙ったサイバー攻撃も同様に増加しています。

VPN製品の脆弱性については専門機関から過去に何度も注意喚起されていましたが、いまだ必要な対策を採っていない企業も多く、情報漏洩の危険性が問題視されています。

本記事では、2020年8月に実際に起こったVPNの情報漏洩の事例などを紹介し、テレワークにおける必要なセキュリティ対策について解説します。

VPNによる大規模な情報漏洩事故が2020年8月に発生

ここでは、2020年8月に発生したVPNによる大規模な情報漏洩事故の概要や情報流出の経緯、過去に起きたVPNによる情報漏洩の事例について紹介します。

情報漏洩事故の概要

2020年8月中旬に、国内外の900社以上のVPN情報などがダークウェブ上に流出していることが、内閣サイバーセキュリティセンターによって確認されました。被害に遭った900社のうち38社が日本企業で、そのなかには国内屈指の大企業も含まれていました。被害を受けた企業はアメリカのパルスセキュア社製のVPN装置を利用していたことがわかり、当該装置の脆弱性が悪用された情報漏洩事故でした。

パルスセキュア社のVPN装置は2019年4月に脆弱性が指摘されており、同社はすぐにセキュリティパッチを公開し、ユーザーに更新するように注意喚起していました。しかし、一部の利用企業は更新前の未対策VPN装置を使い続けており、これが今回の情報漏洩の原因とされています。

VPNの情報はどのように流出したのか

パルスセキュア社製のVPN装置に見つかった脆弱性とは、細工をしたデータをVPN装置に送信するだけで、保存されている任意のファイルを取得し、ユーザーIDとパスワードが盗み出せるようになっていたというものです。

国内のコンピュータセキュリティ事故について、状況の分析や対策の検討・助言を行っている、「一般社団法人 JPCERTコーディネーションセンター」（以降JPCERT/CC）の報告によると、当該製品のIPアドレスに加えて、ユーザーIDや暗号化されていないパスワードやセッション情報などがインターネット上に流出したということです。

VPNによる情報漏洩の過去の事例

VPNの脆弱性が悪用されたセキュリティ事故は過去にも存在します。2018年に起こった例では、オンラインゲームを運営する企業において、VPNを経由した社内サーバーへの不正アクセスが確認されました。この事例では同社が運営する13タイトルのサービスが停止したため、事業に多大な影響を与えることになりました。

その他にも、大手の外貨両替専門Travelex社の事例では、VPN装置の脆弱性を悪用され大規模なランサムウェア感染被害に遭っています。ランサムウェアは重要なデータを人質とし、金銭を要求するマルウェアの一種です。この事例では600万ドル分の身代金を払わなければ5GB分の個人情報を公開するといった脅迫を受けています。

このように、安全といわれているVPNでも多くのセキュリティ事故が発生しています。