VPNはパソコンやスマホから会社に安全に接続できるテレワーク時代に必須の技術です。事故の原因から、知っているようで知らないVPNの仕組みとは?また安全に接続するにはどうすべきか?やさしくご説明します。
2020年8月テレワークの隙を突いた流出事件が発生
2020年8月25日、新聞各紙で企業からの新たな情報流出事件について報道がされました。
要約すると、
- 日立化成や住友林業、ゼンショーホールディングス、オンキヨー、全薬工業、岩谷産業など国内の大手企業38社がVPNを経由した不正アクセスを受け、機密情報が流出
- 機密情報の抜き取り、ウイルスの配布などの被害が予想され、内閣サイバーセキュリティセンターも調査中
との重大な流出な事件です。
残念ながら、すでにネット上の闇サイト(ダークウェブ)で、上記の会社の機密情報の流出が確認されています。
VPNとはなにか?
VPNの意味?
VPNはVirtual Private Network(バーチャル プライベート ネットワーク)の頭文字です。
- Virtual・・本物ではないがそれらしく見える=仮想
- Private・・私用の、内密の
- Network・・回線
つまり、VPNとは「仮想の専用回線」のことです。
VPNはネットの中の自分専用の「トンネル」を作る!?
インターネットは誰でもアクセスできる自由な空間なので、他人に見られたくない情報をやりとりは難しい世界です。
そこでやりとりを他人に見られないためには、
「データを暗号に置き換えて他人に見えない形にして送る」
などの暗号化・秘匿化技術が発展しました。
VPNはこれらの技術を組み合わせて、インターネットの中に「自分しか使えない、他人が入ってこられない回線を技術的に作ってしまう」技術です。
■図引用:ヤマハ(VPNルーターのメーカー様サイト「VPNとは」より)
本来は存在しない自分専用の回線を作るため、「Virtual=仮想の回線」と呼ばれました。
なお、VPNのことを、略称で「トンネル」とか「トンネリング」と呼びます。
「ネットの中に自分だけが通行できるトンネルを掘って安全にデータをやりとりする」というイメージはVPNの説明にぴったりと思います。
上記のアイキャッチの画像も改めてご覧ください。
昔は秘密を守るには高価な専用線しかなかった
ついひと昔前までは、企業が大切な情報のやりとりを秘密に行うためには、「専用線」という専用の回線を引いていました。
たとえば、「本社と支店」は「NTTの専用線で結ぶ」のが普通でした。
専用の回線ですから、他人に盗み見される心配はありませんし、スムーズにデータがやりとりでき、もっとも安全な方法です。
ところが、専用線は敷設工事や接続機器の設置など、いろいろと手間もかかり、月々の使用料も高価でした。
しかも「本社とある支店間の1対1」しか敷設ができず、銀行や運輸機関のように、全国に支店網を持つ会社はばく大な通信コストを負担していました。
結果的に大企業しか導入できず、長い間オンライン化の普及を妨げる大きな原因になっていました。
高速ネットさえあれば使えるVPN
それに比べてVPNは専用線と同様の働きがネットさえあれば実現できてしまいます。
ただし以前ネットの速度が遅い時代は、「専用線に比べて遅くて使い物にならない」こともありましたが、高速ネットが当たり前の現在では、速度の問題もほとんどなくなりました。
特別な工事もいらず、高価な機器も不用とあって、VPNは一気に広がりました。
今では特に大量の機密データを特定の拠点間でやりとりする以外では専用線は使われることは少なく、機密を重視する金融関係でもVPNは普通に使われるようになっています。
在宅勤務ができるのもVPNのおかげ
COVID-19新型コロナ騒動以降、在宅勤務やリモートワークスが不通になりましたが、気軽に在宅勤務ができるのもVPN技術のおかげです。
在宅勤務で会社のデータを読み書きする時は、VPNを使って自宅のパソコンやスマホと会社を繋ぐことで、他人に情報を横取りされることはなく、普通に仕事ができるようになりました。
導入コストも安く、迅速に対応できるVPNは、仮想デスクトップ(VDI=Virtual Desktop Infrastructure)などの技術と共に、皆さんのテレワークを支えています。
VPNの危険性とは
VPNは便利の裏腹に大きなリスクも抱えている
一般的にVPNを使う時は、IDとパスワードで使用者を認証します。
ということは、パスワードが流出してしまうと、誰でも「成りすまし」ができています。
こうなると「会社の機密情報に自由にアクセスできるフリーパスを与えた」ことと同じですから、大きな被害に直結してしまいます。
もちろん「人はミスをする」事を前提に、防御策として、単に「パスワードが正しいからOK」とするだけでなく、いろいろなセキュリティ技術を組み合わせて、不正なアクセスができない仕組みを用意することが当たり前となっていました。
たとえば「パスワードが正しくても、事前に登録されている機器以外の接続は認めない」と言った方法です。
COVID-19・新型コロナ騒動で各社あわててVPNを導入したため、、、
ところが、COVID-19新型コロナ騒動で、急に在宅勤務が増えたため、どこの会社も大急ぎでVPNの利用の拡大が求められました。
とにかく急いで設置することが急務だったため、
・社員のVPN利用の教育
・万一の不正アクセスを防ぐ対策
・VPNの維持管理体制
などの整備が後回しになってしまったのでしょう。
皆さんの中にもこの数ヶ月で急にVPNに触れることになった方も多いことと思います。
ところが、扱う人も不慣れなため、世界中でVPNに関連する事件や事故が多発してしまいました。
またVPNのログイン情報を搾取するフィッシング詐欺も多く発生しました。
今回の流出事件の原因は?
原因は1年半前に分かっていたVPN機器のアップデートを怠ったため!
上でご紹介した今回の流出事件の原因は、VPNを使った社員がだまされてパスワードを流したのではなく、アメリカのVPN機器のメーカーパルスセキュア社のVPN接続システムの脆弱性を狙われたものです。
パルスセキュア社は世界シェア第1位のVPN機器メーカーで、企業はパルスセキュア社よりVPN接続機器(VPNルーター)を購入し社内に設置することで、手軽に社員向けVPNを開始することができます。
日本国内でも3000社もの企業が利用していました。
この社内に設置するシステムに脆弱性があり、高い技術を持つハッカーが侵入してログイン情報を盗み出すことができたのです。
しかしこの脆弱性が発見されたのは、2019年の4月のことであり、しかもパルスセキュア社はすぐに修正プログラムを発表しました。
さらに、コンピュータセキュリティ関連情報の発信を行っている社団法人コーディネーションセンター(JPCERT/CC)からも何度も注意が出されました。
今年の8月にはパルスセキュア社の国内の代理店からも、未対応の46社に直接したそうです。
それでも発表から1年半を経ても、まだ対応しない企業が残っていて、今回やられてしまいました。
これはあまりにも残念な結果です。
新型コロナ対策の緊急対応の隙を狙われてしまったケースもある
また、攻撃を受けたある会社からの発表によると、
「VPN利用の増加に対応するために、急遽使ってない古いパルスセキュア社の機器を稼働させたが、アップデートをしておらず、攻撃された。ただし別の防護策が功を奏して実害は無かった」
とのことです。
■平田機工株式会社「情報セキュリティインシデントについて」(PDF)
新型コロナの感染拡大は思わぬところにリスクをもたらしていました。
まとめ:
VPNを安全に使うには
安全対策の基本は同じ
個人の家庭のパソコンやスマホでも、企業でも、サイバー犯罪に巻き込まれないための安全対策は同じです。
- ルールに従いやってはいけないことはしない
- リスクには速やかに対処して改善する
しかありません。
ところが危機意識が薄い人や企業は、、うっかり放置したり見逃して、大きな被害を受けてしまいます。
個人のVPN安全対策は?
業務でVPNをお使いの方も多いと思いますが、VPN自体は確立した技術で信頼性が高く安全です。
個人レベルでは、とにかく認証のパスワードを奪われないことが第一の対策となります。
- 二段階認証を必ず設定する
これで不正ログインは防げます - VPNを使わない時は、接続を切る
パソコンから離れる時は必ずVPNを切ってください。のぞき見されたり、社内システムに不正アップロードされるリスクがあります。 - VPNのパスワードを狙うフィッシングメールに引っかからない
メールでパスワードを聞かれることはあり得ません。すべて詐欺です。
など、どうぞ正しいルール通りに慎重にお使いください。
不安を感じたときは?念のためセキュリティーソフトで検査しましょう
少しでも不審なときは、「信頼できるセキュリティソフトでパソコンやスマホをスキャンし駆除」が、個人ができる最善の対処方法です。
まだ信頼できるセキュリティソフトを持っていないときは、以下の無料で使える大手の有名セキュリティソフトを使いましょう。
※どの製品も30日程度、製品版と同等に無料試用ができます。
不正なアプリやマルウェアがインストールされていないかスキャンして調査、発見された場合は駆除してください。
※セキュリティ対策ソフトは無料試用後も引き続きお使いになるよう強くお薦めします。
また念のためスマホのキャリア決済やクレジットカードの利用履歴などを不正利用されていないかも調べてください。不審な場合はすぐに発行元に届け出て取引を停止してもらいましょう。
■カスペルスキー セキュリティ 無料体験版(Digital Keeperお薦め)
■感染してからでは遅い!無料体験から始める人気ウイルス対策ソフト 
■【アバスト】30日間無料体験版、返金保証付き 
Digital Keeperお薦めのセキュリティソフト
やはりセキュリティ専門ソフトは必要です
今ではWindows10のようなOSは標準でセキュリティ機能(Windows Defender)が含まれており、ウイルスやマルウェアの侵入を防御してくれますが、基本的な機能しかありません。
セキュリティ専門ソフトは、より強力な防御力と、さまざまな追加機能で、あなたとご家族を守ってくれます。
たとえば
- フィッシングメールに惑わされてうっかりURLをクリックしても「警告して先に進むことを止める」。
- 仮に感染しても重要な個人情報の流出や不正送金を食い止める。
- ネット上にあなたの個人情報が流出していないか調査する。
- 子供のネットの利用時間や不健全なサイト利用を制限する。
- スマホを紛失時に探したり、データを削除する。
- 外出時に使う公衆wifiをVPNを使って安全に使用する。
といった機能です。
セキュリティソフトの選び方、買い方
セキュリティソフトの選択は、価格や広告で選んではいけません!
- 老舗で世界各国で使用された実績が豊富で、要求が厳しい企業向けにも実績のあるもの
- ご自身だけでなく、ご家族のスマートフォン、タブレットもすべてカバーできるもの
- 運営会社が信頼でき、国家からの干渉がなく、個人情報やデータの秘密が守られるもの
- 動作が軽く、機器使用の障害にならないもの
を選択してください。
また、パソコンだけでなく、タブレットやスマホまで、トータルでカバーする製品を選ぶと、「子供が紛失したスマホを探し出す」事など家中の機器をもれなく一括してセキュリティ管理でき、個別に揃えるより費用が大幅に安くなります。
購入に当たっては、店頭販売のパッケージ版より、ダウンロード販売の方が価格が安く、ご使用環境に併せて、使用機器の数や機能を選択できるため、はるかに便利です
家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選びください。
お奨めのセキュリティソフトは?
Digital Keeperが社内でも使用し、おすすめしているのは「Kaspersky」の製品です。
世界でも指折りのセキュリティ技術の先進国ロシア発祥のセキュリティ会社ですが、今では国家からの干渉を避けるため、本拠をスイスに移し、世界各国の開発拠点で活動しています。
もっとも大切な防御力は世界各地の第三者機関のテストで常に「最上」の評価を受けるなど間違いなくNo.1です。
また付属する機能も豊富で「これだけ入れておけば他のセキュリティ製品は不要」なほどですが、それでいて動作も重くないのがすばらしいです。
下記のバナーで無料の30日間体験版がダウンロードできますので、使ってみて性能を実感してみてください。
