ESET/マルウェア情報局

テレワークが進むなか、「VPN」についてあらためて知っておこう

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「今、改めて考えるVPNのセキュリティ」を再編集したものです。

VPNとは

 2020年4月以降、働き方改革法はそれまでの大企業だけでなく中小企業も対象となった。リモートワークの導入を検討する企業も増加しており、そのための手法としてVPNに改めて注目が集まっている。

 VPNは「Virtual Private Network」の略で、直訳すると「仮想の専用線」だ。機密性の高い情報をやり取りする際、公衆回線は不特定多数が利用するため常にリスクが伴う。そのため、公衆回線と切り分けられた専用線の仕組みが開発された。その歴史は古く、1960年代から事業所間のコンピューターを接続する方法として利用されてきている。しかし、物理的な設備、敷設を要するためにコストも高く、導入期間も長いというデメリットがあった。

 専用線のコスト高に対する解決策として、ADSLや光回線などの高速インターネットが普及し始めた2000年代以降、VPNが急速に普及する。VPNは専用線と異なり、仮想で専用線化するため、新たな回線設備が不要、低コストかつ短期間で導入することができる。現在では、多くの企業や個人で利用されており、主に下記の用途で利用されている。

・企業の拠点間を接続する

 複数拠点を持つ企業が、売り上げなどのデータを本社とやり取りする際などにVPNが利用される。新規の設備投資が不要なため、拠点の新設や統廃合といった場合にも低コストで対応することができる。

・個人のモバイル端末と企業ネットワークとを接続する

 近年普及が加速するリモートワークで、オフィス外から企業のサーバーへアクセスするといったケースも増えている。こうした場合、当然ながら公衆Wi-Fiなどは利用できないため、VPNを利用して業務データを送受信することになる。

・自宅にある個人所有の端末と企業ネットワークとを接続する

 在宅勤務での業務遂行の場合、企業から貸与された端末だけでなく自宅にある端末でVPNを経由し、企業のネットワークへアクセスすることも考えられる。その場合は、VPNソフトやセキュリティキーなどを利用することが多い。

・個人が公衆Wi-Fi利用時などに、プライベートで利用する

 企業だけでなく、個人でのVPN利用も広がっている。最近では、情報漏えいリスクのある公衆Wi-Fiを利用する際にVPNを利用する人もいる。さまざまなベンダーからVPNサービスがリリースされているが、後述するように、無料VPNサービスの利用にはくれぐれも注意が必要だ。

VPNの仕組みとその種類

 インターネットなど不特定多数の人が利用する公衆回線は、常に攻撃者からの盗聴リスクにさらされている。公衆回線を使いながらも、「仮想的」かつ「専用線」に近いセキュリティを実現することができるのがVPNだ。VPNには大きく3つのタイプがある。

・インターネットVPN

 既存の公衆回線を使ったVPNがインターネットVPN。インターネット回線に接続できる環境があれば導入できるため、低コストで導入もしやすい。しかし、通信速度が接続環境の影響を受けるため、低速になる恐れがある。また、盗聴やデータの改ざんといったセキュリティリスクがIP-VPNに比べ高い。

・IP-VPN(閉域網)

 インターネットVPNが公衆回線を利用するのに対し、IP-VPNは通信事業者が提供している閉域網を利用する。閉域網とは不特定多数ではなく制限された利用者のみ接続できる回線のことだ。利用者を限定するため、インターネットVPNに比べセキュリティも高く、通信速度も安定しているがコストは高くなる。

・SSL-VPN

 広義でインターネットVPNの一種とされるSSL-VPNだが、通信の際に暗号化通信として広く普及しているSSLを利用することが特徴だ。ユーザーの端末と企業内の端末間で通信するリモートアクセスに利用されることが多い。SSLに対応していれば導入ができるため、低コストかつスピーディーに導入できる。

VPNの安全性を支える仕組み

 VPNでは下記のような仕組みで通信を識別し、セキュリティを確保するようになっている。

・承認

 なりすましを防止するために、データを送受信する相手をアカウント情報などで識別する。

・トンネリング

 トンネリングはVPNの特徴的な技術といえる。具体的には送受信されるパケットに同じVPNのみで利用するヘッダを追加する。これをカプセル化といい、このカプセル化によって、閉じられたネットワークで通信するのに近しい状況を作り出す。

・暗号化

 トンネリングだけでは攻撃者によってデータが盗聴される可能性もあるため、さらにパケットの暗号化を行なう。こうすることにより、通信する相手を識別しつつ、データや宛先が盗聴、改ざんされるリスクを回避する。

VPNの安全性を支える技術、プロトコル

・PPTP

 PPTPは「Point to Point Tunneling Protocol」の略で、マイクロソフト社が中心となって開発したVPN技術だ。その歴史は古く、ほとんどの端末で利用でき通信速度が安定しているというメリットはあるが、暗号化の強度に問題があり、セキュリティが低いというデメリットがある。

・L2TP/IPsec 

 L2TP/IPsecはL2TPというトンネリング技術とIPsecという暗号化技術を併用することで、VPNに必要なセキュリティを実現している。PPTPよりセキュリティは高いが使用できるポートが限られるため、ファイアウォールにブロックされることがあるというデメリットがある。

・IKEv2

 シスコシステムズ社とマイクロソフト社によって開発されたVPN技術で、セキュリティが強固で通信状態が安定していることが特徴だ。例えば、接続が一時的に中断しても自動的にVPNを再稼働させるため、不安定な通信環境下となることが少なくない、モバイル端末での利用に適している。ただし、他の技術ほど広くは普及していない。

・OpenVPN

 現在最もセキュリティが高く、広く普及している技術がOpenVPNだ。特徴としてオープンソースであることが挙げられる。オープンソースのため、多くの技術者が参加して継続的に改善が続いており、多様なプラットフォームで利用するためのサードパーティークライアントも提供されている。

VPNの問題点

 VPNには「プライベート」という言葉が内包されることもあって、その安全性を盲信してしまいがちだ。確かに、何も対策を講じないよりもはるかに安全ではあるが、セキュリティに万全はない。例えば、下記のような事故が実際に起こっている。

 2018年3月、オンラインゲームを運営する企業グループ傘下の子会社において、サーバーへの不正アクセスが確認された。攻撃者はVPNを経由しサーバーにアクセスしている。ユーザーの個人情報漏えいは確認されていないが、13タイトルものゲームがサービスの停止を余儀なくされ、事業に大きな影響を与えた。このインシデントでは、社内チャットからVPNにログインするための情報が収集され、悪用されたと報告されている。要するに、堅牢な通信環境とされるVPNであっても、ログイン情報を適切に管理できなければ不正アクセスを許してしまうため、気をつけたいところだ。

 2019年には、複数ベンダーが提供するセキュリティ製品からVPNに関する脆弱性が報告されている。こうした脆弱性はランサムウェアの感染拡大に悪用される。また、利用者を限定する閉域網であっても、万全ではない。過去には閉域網を提供するベンダーの管理端末自体がマルウェアに感染したという事例も報告されている。

 攻撃者はあらゆる手段を講じて脆弱性を発見し、侵入しようと試みる。VPNを導入したからといって、そのリスクを確実に回避できるわけではない。ネットワーク機器のセキュリティアップデートや、社内ネットワークへのセキュリティ対策、端末利用者のセキュリティ意識の向上など、総合的なセキュリティ対策が重要となる。ずさんなアカウント情報の管理によってVPNに不正アクセスされれば、その被害は甚大なものになり得る。

無料VPNに潜むリスク

 また、「無料VPN」にもリスクが潜んでいる。個人として公衆Wi-Fiの利用時におけるセキュリティ対策や、地域制限(リージョンコード)無効化のためにVPNを利用することもあるだろう。実際に、さまざまなVPNサービスが提供されており、中には無料を謳っているサービスもある。

 しかし、セキュリティ的な観点からは無料のVPNサービスはおすすめすることはできない。そもそも、VPNに限らず何かしらのインターネットサービスを提供するには、サーバーなどの設備投資や運用コストが必ず伴うものだ。無料でサービスを提供するベンダーはどのようにしてこれらの経費を負担し、収益を上げているのかということに意識を向けてほしい。彼らの収入源としては下記のようなものが想定される。

・広告収入

 一般的なものが、広告収入だ。アドプラットフォームの配信先として、VPN利用時に広告が表示される。単に広告が表示されるだけならまだしも、アドウェアのように悪質な動作をするものもある。

・個人情報の収集や転売

 接続しているIPアドレスや、クレジットカード情報などの個人情報を密かに収集し、転売する悪質なサービスも存在すると言われている。VPN運用者はその気になれば、ユーザーの通信内容を盗み見ることが可能だ。転売だけでなく、ハッカーが情報収集のためにVPNサービスを運用するといったケースまである。

・行動履歴の収集や転売

 個人情報だけでなくインターネット上での行動履歴も収集される場合がある。どのウェブサイトにいつ訪問し、どのような商品を購入したかなど、悪意のあるVPN運用者はこれらの情報を不正に収集し、転売や犯罪行為に悪用している。

 また、無料VPNは古い技術を利用していたり、そもそも暗号化すらされていなかったり、セキュリティ的な問題を抱えているケースも少なくない。セキュリティリスクを抱えた無料VPNを利用することは、攻撃者の格好の餌食になるといっても過言ではない。

 さらに、ハッカーはVPNの匿名性を悪用し、無料VPNを「踏み台」として利用することもある。彼らと同じ無料VPNを利用することで、あらぬ嫌疑がかかる可能性も考えられる。このように、無料VPNは有料のものと比べリスクが高い。もし、無料VPNの利用を検討するならば、利用規約をしっかりと確認する、評判を調べるなど事前の調査を丁寧に行なうべきだろう。

VPNを安全に利用するために

 より強固な安全性と安定性を追求するならば専用線だが、コストを考えるとその利用は一部の企業に限定される。VPNは安全な有料サービスを選択し、適切に運用を行なえば、低コストで手軽に安全な通信を実現できる。だからといって、VPNだけでセキュリティ対策が十分だと思うのは早計だ。VPNがネットワークという限定領域のセキュリティに過ぎないということは十分認識しておいてほしい。インターネットVPNの場合は、不特定多数が利用する公衆回線を経由しているということも忘れてはならない。VPNのリスクや、インターネット接続の危険性を十分理解したうえで適切な利用を心がけたい。