VPNはパソコンやスマホから会社に安全に接続できるテレワーク時代に必須の技術です。事故の原因から、知っているようで知らないVPNの仕組みとは?また安全に接続するにはどうすべきか?やさしくご説明します。
2020年8月テレワークの隙を突いた流出事件が発生
2020年8月25日、新聞各紙で企業からの新たな情報流出事件について報道がされました。
要約すると、
- 日立化成や住友林業、ゼンショーホールディングス、オンキヨー、全薬工業、岩谷産業など国内の大手企業38社がVPNを経由した不正アクセスを受け、機密情報が流出
- 機密情報の抜き取り、ウイルスの配布などの被害が予想され、内閣サイバーセキュリティセンターも調査中
との重大な流出な事件です。
残念ながら、すでにネット上の闇サイト(ダークウェブ)で、上記の会社の機密情報の流出が確認されています。
VPNとはなにか?
VPNの意味?
VPNはVirtual Private Network(バーチャル プライベート ネットワーク)の頭文字です。
- Virtual・・本物ではないがそれらしく見える=仮想
- Private・・私用の、内密の
- Network・・回線
つまり、VPNとは「仮想の専用回線」のことです。
VPNはネットの中の自分専用の「トンネル」を作る!?
インターネットは誰でもアクセスできる自由な空間なので、他人に見られたくない情報をやりとりは難しい世界です。
そこでやりとりを他人に見られないためには、
「データを暗号に置き換えて他人に見えない形にして送る」
などの暗号化・秘匿化技術が発展しました。
VPNはこれらの技術を組み合わせて、インターネットの中に「自分しか使えない、他人が入ってこられない回線を技術的に作ってしまう」技術です。
■図引用:ヤマハ(VPNルーターのメーカー様サイト「VPNとは」より)
本来は存在しない自分専用の回線を作るため、「Virtual=仮想の回線」と呼ばれました。
なお、VPNのことを、略称で「トンネル」とか「トンネリング」と呼びます。
「ネットの中に自分だけが通行できるトンネルを掘って安全にデータをやりとりする」というイメージはVPNの説明にぴったりと思います。
上記のアイキャッチの画像も改めてご覧ください。
昔は秘密を守るには高価な専用線しかなかった
ついひと昔前までは、企業が大切な情報のやりとりを秘密に行うためには、「専用線」という専用の回線を引いていました。
たとえば、「本社と支店」は「NTTの専用線で結ぶ」のが普通でした。
専用の回線ですから、他人に盗み見される心配はありませんし、スムーズにデータがやりとりでき、もっとも安全な方法です。
ところが、専用線は敷設工事や接続機器の設置など、いろいろと手間もかかり、月々の使用料も高価でした。
しかも「本社とある支店間の1対1」しか敷設ができず、銀行や運輸機関のように、全国に支店網を持つ会社はばく大な通信コストを負担していました。
結果的に大企業しか導入できず、長い間オンライン化の普及を妨げる大きな原因になっていました。
高速ネットさえあれば使えるVPN
それに比べてVPNは専用線と同様の働きがネットさえあれば実現できてしまいます。
ただし以前ネットの速度が遅い時代は、「専用線に比べて遅くて使い物にならない」こともありましたが、高速ネットが当たり前の現在では、速度の問題もほとんどなくなりました。
特別な工事もいらず、高価な機器も不用とあって、VPNは一気に広がりました。
今では特に大量の機密データを特定の拠点間でやりとりする以外では専用線は使われることは少なく、機密を重視する金融関係でもVPNは普通に使われるようになっています。
在宅勤務ができるのもVPNのおかげ
COVID-19新型コロナ騒動以降、在宅勤務やリモートワークスが不通になりましたが、気軽に在宅勤務ができるのもVPN技術のおかげです。
在宅勤務で会社のデータを読み書きする時は、VPNを使って自宅のパソコンやスマホと会社を繋ぐことで、他人に情報を横取りされることはなく、普通に仕事ができるようになりました。
導入コストも安く、迅速に対応できるVPNは、仮想デスクトップ(VDI=Virtual Desktop Infrastructure)などの技術と共に、皆さんのテレワークを支えています。
VPNの危険性とは
VPNは便利の裏腹に大きなリスクも抱えている
一般的にVPNを使う時は、IDとパスワードで使用者を認証します。
ということは、パスワードが流出してしまうと、誰でも「成りすまし」ができています。
こうなると「会社の機密情報に自由にアクセスできるフリーパスを与えた」ことと同じですから、大きな被害に直結してしまいます。
もちろん「人はミスをする」事を前提に、防御策として、単に「パスワードが正しいからOK」とするだけでなく、いろいろなセキュリティ技術を組み合わせて、不正なアクセスができない仕組みを用意することが当たり前となっていました。
たとえば「パスワードが正しくても、事前に登録されている機器以外の接続は認めない」と言った方法です。
COVID-19・新型コロナ騒動で各社あわててVPNを導入したため、、、
ところが、COVID-19新型コロナ騒動で、急に在宅勤務が増えたため、どこの会社も大急ぎでVPNの利用の拡大が求められました。
とにかく急いで設置することが急務だったため、
・社員のVPN利用の教育
・万一の不正アクセスを防ぐ対策
・VPNの維持管理体制
などの整備が後回しになってしまったのでしょう。
皆さんの中にもこの数ヶ月で急にVPNに触れることになった方も多いことと思います。
ところが、扱う人も不慣れなため、世界中でVPNに関連する事件や事故が多発してしまいました。
またVPNのログイン情報を搾取するフィッシング詐欺も多く発生しました。
今回の流出事件の原因は?
原因は1年半前に分かっていたVPN機器のアップデートを怠ったため!
上でご紹介した今回の流出事件の原因は、VPNを使った社員がだまされてパスワードを流したのではなく、アメリカのVPN機器のメーカーパルスセキュア社のVPN接続システムの脆弱性を狙われたものです。
パルスセキュア社は世界シェア第1位のVPN機器メーカーで、企業はパルスセキュア社よりVPN接続機器(VPNルーター)を購入し社内に設置することで、手軽に社員向けVPNを開始することができます。
日本国内でも3000社もの企業が利用していました。
この社内に設置するシステムに脆弱性があり、高い技術を持つハッカーが侵入してログイン情報を盗み出すことができたのです。
しかしこの脆弱性が発見されたのは、2019年の4月のことであり、しかもパルスセキュア社はすぐに修正プログラムを発表しました。
さらに、コンピュータセキュリティ関連情報の発信を行っている社団法人コーディネーションセンター(JPCERT/CC)からも何度も注意が出されました。
今年の8月にはパルスセキュア社の国内の代理店からも、未対応の46社に直接したそうです。
それでも発表から1年半を経ても、まだ対応しない企業が残っていて、今回やられてしまいました。
これはあまりにも残念な結果です。
新型コロナ対策の緊急対応の隙を狙われてしまったケースもある
また、攻撃を受けたある会社からの発表によると、
「VPN利用の増加に対応するために、急遽使ってない古いパルスセキュア社の機器を稼働させたが、アップデートをしておらず、攻撃された。ただし別の防護策が功を奏して実害は無かった」
とのことです。
■平田機工株式会社「情報セキュリティインシデントについて」(PDF)
新型コロナの感染拡大は思わぬところにリスクをもたらしていました。
まとめ:
VPNを安全に使うには
安全対策の基本は同じ
個人の家庭のパソコンやスマホでも、企業でも、サイバー犯罪に巻き込まれないための安全対策は同じです。
- ルールに従いやってはいけないことはしない
- リスクには速やかに対処して改善する
しかありません。
ところが危機意識が薄い人や企業は、、うっかり放置したり見逃して、大きな被害を受けてしまいます。
個人のVPN安全対策は?
業務でVPNをお使いの方も多いと思いますが、VPN自体は確立した技術で信頼性が高く安全です。
個人レベルでは、とにかく認証のパスワードを奪われないことが第一の対策となります。
- 無料版にではなく、しっかりした有料の信頼できるVPN業者やアプリだけを使う。
- 二段階認証を必ず設定する
これで不正ログインは防げます - VPNを使わない時は、接続を切る
パソコンから離れる時は必ずVPNを切ってください。のぞき見されたり、社内システムに不正アップロードされるリスクがあります。 - VPNのパスワードを狙うフィッシングメールに引っかからない
メールでパスワードを聞かれることはあり得ません。すべて詐欺です。
など、どうぞ正しいルール通りに慎重にお使いください。
スマホを使っていたりネットを見ていると、しばしば「VPN」アプリの広告が届きます。「VPNがあなたのデータの秘密を守ります」との説明は本当でしょうか?知っているようで知らないVPNの仕組みから、VPNアプリの必要性、「無料のVPNアプリ[…]
