VPNはパソコンやスマホから会社に安全に接続できるテレワーク時代に必須の技術です。事故の原因から、知っているようで知らないVPNの仕組みとは?また安全に接続するにはどうすべきか?やさしくご説明します。
2020年8月テレワークの隙を突いた流出事件が発生
2020年8月25日、新聞各紙で企業からの新たな情報流出事件について報道がされました。
要約すると、
- 日立化成や住友林業、ゼンショーホールディングス、オンキヨー、全薬工業、岩谷産業など国内の大手企業38社がVPNを経由した不正アクセスを受け、機密情報が流出
- 機密情報の抜き取り、ウイルスの配布などの被害が予想され、内閣サイバーセキュリティセンターも調査中
との重大な流出な事件です。
残念ながら、すでにネット上の闇サイト(ダークウェブ)で、上記の会社の機密情報の流出が確認されています。
VPNとはなにか?
VPNの意味?
VPNはVirtual Private Network(バーチャル プライベート ネットワーク)の頭文字です。
- Virtual・・本物ではないがそれらしく見える=仮想
- Private・・私用の、内密の
- Network・・回線
つまり、VPNとは「仮想の専用回線」のことです。
VPNはネットの中の自分専用の「トンネル」を作る!?
インターネットは誰でもアクセスできる自由な空間なので、他人に見られたくない情報をやりとりは難しい世界です。
そこでやりとりを他人に見られないためには、
「データを暗号に置き換えて他人に見えない形にして送る」
などの暗号化・秘匿化技術が発展しました。
VPNはこれらの技術を組み合わせて、インターネットの中に「自分しか使えない、他人が入ってこられない回線を技術的に作ってしまう」技術です。
■図引用:ヤマハ(VPNルーターのメーカー様サイト「VPNとは」より)
本来は存在しない自分専用の回線を作るため、「Virtual=仮想の回線」と呼ばれました。
なお、VPNのことを、略称で「トンネル」とか「トンネリング」と呼びます。
「ネットの中に自分だけが通行できるトンネルを掘って安全にデータをやりとりする」というイメージはVPNの説明にぴったりと思います。
上記のアイキャッチの画像も改めてご覧ください。
昔は秘密を守るには高価な専用線しかなかった
ついひと昔前までは、企業が大切な情報のやりとりを秘密に行うためには、「専用線」という専用の回線を引いていました。
たとえば、「本社と支店」は「NTTの専用線で結ぶ」のが普通でした。
専用の回線ですから、他人に盗み見される心配はありませんし、スムーズにデータがやりとりでき、もっとも安全な方法です。
ところが、専用線は敷設工事や接続機器の設置など、いろいろと手間もかかり、月々の使用料も高価でした。
しかも「本社とある支店間の1対1」しか敷設ができず、銀行や運輸機関のように、全国に支店網を持つ会社はばく大な通信コストを負担していました。
結果的に大企業しか導入できず、長い間オンライン化の普及を妨げる大きな原因になっていました。
高速ネットさえあれば使えるVPN
それに比べてVPNは専用線と同様の働きがネットさえあれば実現できてしまいます。
ただし以前ネットの速度が遅い時代は、「専用線に比べて遅くて使い物にならない」こともありましたが、高速ネットが当たり前の現在では、速度の問題もほとんどなくなりました。
特別な工事もいらず、高価な機器も不用とあって、VPNは一気に広がりました。
今では特に大量の機密データを特定の拠点間でやりとりする以外では専用線は使われることは少なく、機密を重視する金融関係でもVPNは普通に使われるようになっています。
在宅勤務ができるのもVPNのおかげ
COVID-19新型コロナ騒動以降、在宅勤務やリモートワークスが不通になりましたが、気軽に在宅勤務ができるのもVPN技術のおかげです。
在宅勤務で会社のデータを読み書きする時は、VPNを使って自宅のパソコンやスマホと会社を繋ぐことで、他人に情報を横取りされることはなく、普通に仕事ができるようになりました。
導入コストも安く、迅速に対応できるVPNは、仮想デスクトップ(VDI=Virtual Desktop Infrastructure)などの技術と共に、皆さんのテレワークを支えています。
VPNの危険性とは
VPNは便利の裏腹に大きなリスクも抱えている
一般的にVPNを使う時は、IDとパスワードで使用者を認証します。
ということは、パスワードが流出してしまうと、誰でも「成りすまし」ができています。
こうなると「会社の機密情報に自由にアクセスできるフリーパスを与えた」ことと同じですから、大きな被害に直結してしまいます。
もちろん「人はミスをする」事を前提に、防御策として、単に「パスワードが正しいからOK」とするだけでなく、いろいろなセキュリティ技術を組み合わせて、不正なアクセスができない仕組みを用意することが当たり前となっていました。
たとえば「パスワードが正しくても、事前に登録されている機器以外の接続は認めない」と言った方法です。
COVID-19・新型コロナ騒動で各社あわててVPNを導入したため、、、
ところが、COVID-19新型コロナ騒動で、急に在宅勤務が増えたため、どこの会社も大急ぎでVPNの利用の拡大が求められました。
とにかく急いで設置することが急務だったため、
・社員のVPN利用の教育
・万一の不正アクセスを防ぐ対策
・VPNの維持管理体制
などの整備が後回しになってしまったのでしょう。
皆さんの中にもこの数ヶ月で急にVPNに触れることになった方も多いことと思います。
ところが、扱う人も不慣れなため、世界中でVPNに関連する事件や事故が多発してしまいました。
またVPNのログイン情報を搾取するフィッシング詐欺も多く発生しました。
今回の流出事件の原因は?
原因は1年半前に分かっていたVPN機器のアップデートを怠ったため!
上でご紹介した今回の流出事件の原因は、VPNを使った社員がだまされてパスワードを流したのではなく、アメリカのVPN機器のメーカーパルスセキュア社のVPN接続システムの脆弱性を狙われたものです。
パルスセキュア社は世界シェア第1位のVPN機器メーカーで、企業はパルスセキュア社よりVPN接続機器(VPNルーター)を購入し社内に設置することで、手軽に社員向けVPNを開始することができます。
日本国内でも3000社もの企業が利用していました。
この社内に設置するシステムに脆弱性があり、高い技術を持つハッカーが侵入してログイン情報を盗み出すことができたのです。
しかしこの脆弱性が発見されたのは、2019年の4月のことであり、しかもパルスセキュア社はすぐに修正プログラムを発表しました。
さらに、コンピュータセキュリティ関連情報の発信を行っている社団法人コーディネーションセンター(JPCERT/CC)からも何度も注意が出されました。
今年の8月にはパルスセキュア社の国内の代理店からも、未対応の46社に直接したそうです。
それでも発表から1年半を経ても、まだ対応しない企業が残っていて、今回やられてしまいました。
これはあまりにも残念な結果です。
新型コロナ対策の緊急対応の隙を狙われてしまったケースもある
また、攻撃を受けたある会社からの発表によると、
「VPN利用の増加に対応するために、急遽使ってない古いパルスセキュア社の機器を稼働させたが、アップデートをしておらず、攻撃された。ただし別の防護策が功を奏して実害は無かった」
とのことです。
■平田機工株式会社「情報セキュリティインシデントについて」(PDF)
新型コロナの感染拡大は思わぬところにリスクをもたらしていました。
まとめ:
VPNを安全に使うには
安全対策の基本は同じ
個人の家庭のパソコンやスマホでも、企業でも、サイバー犯罪に巻き込まれないための安全対策は同じです。
- ルールに従いやってはいけないことはしない
- リスクには速やかに対処して改善する
しかありません。
ところが危機意識が薄い人や企業は、、うっかり放置したり見逃して、大きな被害を受けてしまいます。
個人のVPN安全対策は?
業務でVPNをお使いの方も多いと思いますが、VPN自体は確立した技術で信頼性が高く安全です。
個人レベルでは、とにかく認証のパスワードを奪われないことが第一の対策となります。
- 二段階認証を必ず設定する
これで不正ログインは防げます - VPNを使わない時は、接続を切る
パソコンから離れる時は必ずVPNを切ってください。のぞき見されたり、社内システムに不正アップロードされるリスクがあります。 - VPNのパスワードを狙うフィッシングメールに引っかからない
メールでパスワードを聞かれることはあり得ません。すべて詐欺です。
など、どうぞ正しいルール通りに慎重にお使いください。
不安を感じたときは?念のためセキュリティーソフトで検査しましょう
Androidスマホやパソコンを使っていて、少しでも不審を感じたときは「信頼できるセキュリティ対策ソフトでパソコンやスマホをスキャンし駆除」が、個人ができる最善の対処方法です。
まだ入れていない方は無料で使える大手の有名セキュリティソフトを使いましょう。
~Windowsパソコンのスキャンと駆除~
マイクロソフトが無料で配布しているMicrosoft Safety Scanner を強くおすすめします。
信頼性が高く強力で、ダウンロードしてすぐに使用できます。
詳しくは以下の記事をご覧下さい。
マイクロソフトが無料で配布しているMicrosoft Safety Scannerはマルウェア(ウイルス)を徹底的に検索し削除してくれる強力かつ信頼できるスキャンツールです。検出率や性能は高く評価できますが、一般的なセキュリティ対策ソフ[…]
~AndroidスマホやMACにも使える無料のセキュリティ対策ソフトは?~
■【ノートン】無料体験版
(Digital Keeperお薦め)
■【マカフィー】初月無料版ダウンロード
■【ESET】感染してからでは遅い!無料体験から始める人気ウイルス対策ソフト 
■【アバスト】30日間無料体験版、返金保証付き 
※どの製品も大手の定評あるセキュリティ会社の製品です。30日程度、製品版と同等に無料試用ができます。不正なアプリやマルウェアがないかスキャンして調査、発見された場合は駆除してください。
※iPhoneやiPadなどiOSの機器は安全でセキュリティソフトは不要とされ、存在していません。
※セキュリティ対策ソフトは無料試用後も引き続きお使いになるよう強くお薦めします。
また念のためスマホのキャリア決済やクレジットカードの利用履歴などを不正利用されていないかも調べてください。不審な場合はすぐに発行元に届け出て取引を停止してもらいましょう。
Digital Keeperお薦めのセキュリティソフト
やはりセキュリティ専門ソフトは必要です
現在のデジタル機器はセキュリティが強化され、昔のようにウイルスには簡単に感染させることができなくなりました。
そこで攻撃方法はユーザーをだます「フィッシング」によって、不正プログラムを感染させたり、偽サイトで個人情報を盗み取る手法に移行しています。
Windows10のセキュリティ機能(Windows Defender)は、ウイルスの侵入は防ぎますが、フィッシング対策はありません。
セキュリティ専門ソフトは、より強力な防御力と以下のような追加機能で、あなたとご家族がだまされてしまうリスクも低減し、万一の時も、被害低減してくれます。
- フィッシングサイト等、ネット上の危険なコンテンツへのアクセスを止める。
- フィッシングメールにだまされてうっかりURLをクリックしても「警告」して止める。
- 仮に感染しても重要な個人情報の流出や不正送金を食い止める。
- ネット上にあなたの個人情報が流出していないか調査する。
- お子様のネットの利用時間や不健全なサイト利用を制限する。
- 紛失したスマホを探したり、データを削除する。
- 外出時に使う公衆wifiをVPNを使って安全に使用する。
といった機能です。
※iPhoneは強固な構造のためセキュリティアプリは不要とされています。Androidスマホにはセキュリティアプリは絶対に必要です。
セキュリティソフトの選び方、買い方
セキュリティソフトの選択は、価格や広告で選んではいけません!まして無料なアプリはかえって危険につながることもあります。
- 世界各国で使用実績が豊富で、要求が厳しい企業向け製品にも実績のある
- 運営会社が信頼でき、国家からの干渉がなく、個人情報やデータの秘密が守られる
- 動作が軽く、機器使用の障害にならない
- ご自身だけでなく、ご家族のスマートフォン、タブレットもすべてカバーできる
製品ををおすすめします。
また、タブレットやスマホまで、トータルでカバーできる製品では「子供が紛失したスマホを探し出す」事など家中の機器をもれなく一括してセキュリティ管理でき、個別に揃えるより費用も大幅に安くなります。
購入に当たっては、店頭販売のパッケージ版より、ダウンロード販売の方が価格が安く、使用環境に併せて、使用機器の数や機能を選択できるため、はるかに便利です。
家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選びください。
お奨めのセキュリティソフトは?
Digital Keeperがおすすめしているのは「ノートン(Norton)」の製品です。
ノートンは1990年から販売されている世界でも指折りのセキュリティ対策ツールです。防御力は世界各地の第三者機関のテストで常に「最上」の評価で、しかも軽量です。
またノートン セキュア VPNという、回線からの漏えいを防ぐVPN機能が標準で含まれているのも高評価です。
