ランサムウェアの侵入経路として大きな問題となっているVPNの脆弱性。ここでは昨年から巻き起こっている「脱VPN」をリモートアクセスVPNとVPN自体の課題を分けて掘り下げるとともに、なぜZTNA(Zero Trust Network Access)やSASE(Secure Access Service Edge)が必要になるのかを解説する。
ランサムウェアに狙われるVPNの脆弱性 VPNは悪者か?
「脱VPN」の流れが加速している。これはランサムウェア攻撃の入り口として、脆弱性の残ったVPN機器が悪用され、社内ネットワークに不正アクセスされる事件が相次いでいるからにほかならない。
Zscalerが昨年公表したVPNリスクレポートでは、5割以上の企業が「VPNの脆弱性を悪用したサイバー攻撃を経験した」とされている。しかも、調査期間中のVPN関連の脆弱性は82.5%もの増加を記録したとされており、対策は急務だ(関連ページ:2025年版 Zscaler ThreatLabz VPNリスク レポートを発表、半数以上の組織がセキュリティとコンプライアンスのリスクをVPNの最重要課題と認識)。
国内では特に医療機関のVPNが狙われており、診療の停止や患者情報の漏えいにつながった。昨年起こったアサヒグループHDへのランサムウェア攻撃でもVPNの脆弱性が狙われている。当然ながら「VPNは危険」という意見に発展し、移行先として、後述するZTNAやSASEといったソリューションに注目が集まっているのが現状だ。
果たしてVPNは悪者か? この話を整理するために、今回はリモートアクセスVPNの課題とVPN共通の課題を整理しておきたい。
あらゆるIPアドレスからのアクセスを受け入れるリモートアクセスVPNの弱点
VPNでは通信相手の認証、パケットの改ざん検知、暗号化などを実現するインターネット標準のセキュリティプロトコルが用いられているが、用途は大きく2つに分かれる。拠点のネットワーク間を相互接続する「サイト間VPN」と「リモートアクセスVPN」の2種類だ。仕組み上危険なのは、後者のリモートアクセスVPNになる。
SSL VPNを用いたリモートアクセスVPN
サイト間VPNの場合、接続する双方のIPアドレスが固定されていれば、通信相手を確実に認証できる。アタックサーフェスが露出しているとはいえ、VPN機器に脆弱性がない状態で、通信相手のIPアドレス以外の接続要求を受け付けなければ、不正アクセスは理論上起こりえない。
一方、リモートアクセスVPNは接続元となる端末のIPアドレスが固定されていない。つまり、どのIPアドレスからの接続要求も、VPN機器側は受け付けなければならない。コロナ禍でテレワークが普及した結果、リモートアクセスの需要は急速に伸びたが、言い換えれば「社員はどこからつないでくるかわからない」という状況になったわけだ。送信元のIPアドレスだけを見ても、攻撃なのか、正当なアクセスなのかを判断するのは不可能だ。
プロトコルによる違いもある。IPsecもSSL VPNもベンダーが独自拡張した専用クライアントソフトを利用することが多いが、業界標準が存在しないSSL VPNを実現するOpenSSLなどのソフトウェアには頻繁に脆弱性が見つかっており、攻撃者に悪用されるリスクが高い。後述する通り、認証を通ってしまえば、社内ネットワークにフルアクセスできてしまうリスクは両方とも同じだが、相対的にリモートアクセスVPNの危険度が高いのは間違いない。
VPNそのものの課題は認証OKで、ネットワークにフルアクセスできること
一方、VPNそのものの課題は、いったんVPN機器で正規ユーザーとして認証されてしまったら、社内ネットワークに自由にアクセスできてしまう点だ。これは堀を越えてしまえば、城内のどこにでも行けてしまう「城と堀のモデル」に例えられる。侵入さえしてしまえば、社内ネットワークに接続された業務サーバーにもPCにもアクセスできるし、どんな脆弱性のある端末があるかも調べ放題。攻撃者が内部を偵察するこの行動は「ラテラルムーブメント」と呼ばれる。
しかも、インターネットVPNの場合、外部に公開されているVPN機器へのアクセスポイントは誰でもアクセスできてしまう。この外部公開されたリソースを「アタックサーフェス」と呼ぶ。城と堀のモデルに例えれば、誰でも堀までは行けてしまう状態を表す。もしVPN機器に脆弱性が残っていれば、これが「蟻の一穴」となり、攻撃者からは格好の侵入ルートになってしまうわけだ。
そのため、IT部門は常に最新のセキュリティアップデートを適用し、 VPN機器を脆弱性のない状態に維持する必要があるが、現実には迅速に対応するのは困難だ。前述した通り、SSL VPNはベンダー独自実装も多く、重要な脆弱性がいくつも見つかっている。一方で、攻撃者の側では、脆弱性の公開から実際の攻撃に至るまでの時間を年々短縮している。最新のフォーティネットの調査によると、2024年は4.5日だったが、2025年は1日にまで短縮されている(関連ページ:2026年フォーティネット グローバル脅威レポート)。
攻撃者は、企業のアタックサーフェスを毎日のように調べ続け、攻撃が可能な組織をリストアップしている。脆弱性のある機器を用いていたり、平易なパスワードを利用していたり、多要素認証をオフにしたりしていると、この攻撃対象リストに加えられてしまう。しかも現在のサイバー攻撃はきわめて分業化されているので、攻撃対象のリストも、攻撃を実行するツールも、すべて犯罪マーケットで売買されている。攻撃のハードルはきわめて低いため、「自社だけは安全」は完全に妄想だ。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
