テレワークのVPNが攻撃の入口になる
——在宅勤務が広げたリスク
コロナ禍でテレワークが当たり前になり、多くの企業が急いでVPN(仮想プライベートネットワーク)を導入しました。しかしそのVPNが今、攻撃者にとって最もよく使われる侵入経路のひとつになっています。国内でも複数の被害事例が発生しており、「うちはVPNを入れているから安心」という認識は危険かもしれません。
そもそもVPNとは——なぜ攻撃されやすいのか
VPNとは、インターネット上に「専用の暗号化トンネル」を作り、自宅のパソコンから会社のネットワークに安全に接続するための仕組みです。リモートワーク中に社内ファイルサーバや基幹システムへアクセスするために使います。
会社のネットワークに直接つながっているのと同じ状態を、インターネット越しに再現する技術です。社内にいるのと同じようにファイルを開いたり、社内システムを操作したりできます。
便利な反面、VPNには重大な特性があります。一度接続を許可すると、社内ネットワーク全体へのアクセスが可能になるのです。正面玄関を突破されると、建物の中を自由に歩き回れる——それがVPNの仕組みです。
さらに、VPN機器はインターネットに直接さらされています。ウェブサイトと同様、外部から24時間スキャンされる対象になっており、ソフトウェアに脆弱性があれば世界中の攻撃者にすぐ発見されます。
「裏口から入る泥棒」——たとえ話で理解する
オフィスビルを想像してください。正面玄関には最新のセキュリティゲートがあり、社員証をかざさないと入れません。しかし建物の裏側には従業員専用の通用口があり、そこの錠前は数年前に取り付けたまま一度もメンテナンスされていません。
泥棒は正面玄関を攻めません。裏口の古い錠前を器具でこじ開け、堂々と建物内に入り込みます。そして内側から正面玄関のロックを解除し、仲間を次々と招き入れる——これがVPN脆弱性を悪用した攻撃の構図です。
正面のセキュリティがどれだけ堅牢でも、裏口(VPN)がメンテナンスされていなければ意味がないのです。
実際の攻撃者はVPN機器のバージョン情報を自動的にスキャンして収集し、既知の脆弱性を持つ機器を見つけては侵入を試みます。これは特定の会社を狙うのではなく、「侵入できる機器」を機械的に探す行為です。
国内で起きた実例——FortiVPN・Pulse Secureの悪用
VPN脆弱性を悪用した攻撃は、国内でも複数の深刻な事例を生み出しています。特に広く使われているFortinetのFortiVPN(FortiGate)とIvanti(旧Pulse Secure)のPulse Connect Secureは、重大な脆弱性が相次いで発見され、修正パッチの適用が遅れた組織が次々と被害を受けました。
これらの脆弱性が公開されたのは2018〜2019年ですが、パッチを当てていない機器が数年後も大量に稼働し続け、2021〜2022年にランサムウェアグループに悪用されて多数の被害が発生しました。日本国内でも、政府機関・医療機関・製造業などで情報漏えいや業務停止の事例が報告されています。
攻撃者は常に最新の脆弱性を狙うとは限りません。数年前に公開された脆弱性でも、パッチを当てていない機器があれば十分に悪用できます。「うちのVPNは昔から使っていて問題ない」という状況は、むしろリスクが高い状態です。
リモートデスクトップ(RDP)も同じ構図
VPNと並んで狙われているのが、リモートデスクトップ(RDP)です。テレワーク導入時に「とりあえず社内PCにリモートでつなげられるようにした」という環境では、RDPがインターネットに直接公開された状態になっていることがあります。
RDPへの不正アクセスは、パスワードを総当たりで試す「ブルートフォース攻撃」や、流出した認証情報を使う「クレデンシャルスタッフィング」によって行われます。多要素認証(MFA)なしでパスワードだけで保護されているRDPは、攻撃者にとって最も簡単な侵入口のひとつです。
見落とされがちなリスク——在宅PCから社内に感染が広がる
VPN機器そのものの脆弱性とは別に、在宅勤務で使うPC自体がウイルスに感染し、VPN経由で社内ネットワークに侵入されるというルートも深刻です。
自宅PCは会社の管理が届きにくく、個人のスマートフォン充電や子どもの学習利用など、さまざまな用途で使われます。フィッシングメールのリンクをうっかり踏んだ、怪しいソフトをインストールしてしまった——そういった事故が起きやすい環境です。
・VPN接続中は感染PCと社内ネットワークがつながった状態になる
・社内ファイルサーバやデータベースにウイルスが波及する
・ランサムウェアが社内全体に展開され、全員の業務が停止する可能性がある
・接続ログが残っていなければ、感染経路の特定が困難になる
「社内のPCは管理できている」という会社でも、VPN経由でつながる在宅PCは管理外であることがほとんどです。この盲点が被害を広げる原因になっています。
今すぐ確認すべき4つのポイント
特別な知識がなくてもすぐに確認・改善できることから始めましょう。まず「自社の状態を把握する」ことが最初の一歩です。
-
1
VPNソフトウェアのバージョンを確認する
VPN機器の管理画面にログインし、現在のファームウェアバージョンを確認してください。メーカーの公式サイトで最新バージョンと比較し、古い場合はアップデートを実施します。「いつ設定したか覚えていない」機器は特に要注意です。IT担当者や保守業者に確認を依頼しましょう。
-
2
多要素認証(MFA)が有効になっているか確認する
VPN接続やリモートデスクトップのログインが、IDとパスワードだけで完了する設定になっていませんか?多要素認証(スマートフォンへの確認コード送信など)を追加することで、パスワードが漏えいしても不正ログインを防ぐ効果があります。多くのVPN製品が無料または低コストでMFAに対応しています。
-
3
不要なポートやサービスが公開されていないか確認する
テレワーク導入時に「とりあえず」開けたポートや、退職者が使っていたアカウントが残っていないか整理しましょう。使っていないVPNアカウントや、外部から接続できる状態のリモートデスクトップは、攻撃の窓口になります。外部からどのポートが見えているかは、Leapsecの無料診断で確認できます。
-
4
在宅PCのセキュリティポリシーを整備する
業務で使う在宅PCにはウイルス対策ソフトを導入し、OSとアプリのアップデートを定期的に適用するルールを設けましょう。可能であれば、業務専用PCを用意して私的利用と分離することが理想です。VPN接続前にPCの状態を確認する「エンドポイントチェック」機能を持つVPN製品も検討の余地があります。
まとめ——テレワーク環境のセキュリティは「入口」から見直す
- VPNはインターネットに直接さらされており、バージョンが古いと攻撃者に悪用される
- FortiVPN・Pulse Secureなど主要製品の脆弱性は国内でも悪用された実績がある
- 在宅PCのウイルス感染がVPN経由で社内ネットワーク全体に波及するリスクがある
- 多要素認証の導入とソフトウェアの定期アップデートがまず取り組むべき対策
- 「外部から何が見えているか」を把握することが、すべての対策の出発点になる
自社のVPN・開放ポートを外部から確認してみませんか?
Leapsecの無料診断では、外部から見た自社サイトのポート露出状況を5分・登録不要・無料で確認できます。
VPN接続口が意図せず公開されていないか、今すぐチェックしましょう。
結果はメールで届きます。営業電話は一切ありません。
出典・参考
米国CISA(サイバーセキュリティ・インフラセキュリティ庁) VPN脆弱性勧告(2020〜2022年)/警察庁 サイバー警察局「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」/独立行政法人情報処理推進機構(IPA)「テレワーク等のニューノーマルな働き方を支えるためのセキュリティの考え方」
執筆:株式会社リープリック(ITインフラ設計・構築・保守 14年)