VPNとはVirtual Private Networkの頭文字を取った用語です。離れた場所の間を仮想的な専用線でつないで安全なデータ通信を実現する仕組みで、仮想プライベート・ネットワークとも言います。現在テレワーク・リモートワークの推進や普及に伴って、多くの企業で安全な拠点間通信の手段として使われています。しかし、この安全だと謳われているVPNが悪用されるリスクがあるのをご存知でしょうか?今回はVPNの仕組み、メリットやデメリット、そしてその安全性等を詳しく見ていきたいと思います。
VPNの仕組みとは?
VPN接続とは、インターネット上に仮想の専用線を設定し、特定の人のみが利用できるようにする専用ネットワークです。接続したい拠点(支社)に専用のルーターを設置し、相互通信をおこなうことができます。社内のネットワークはLANでつなぎます。VPNが登場する以前は企業のネットワークは専用線で構築され、相当の費用がかかりました。専用線の場合は本社と拠点(支社を)1対1で繋ぎ、映像コンテンツや1Gbps以上の帯域を必要とするデータセンター間の通信など、大容量のデータを安定してやり取りできます。しかし専用線は距離に応じてコストがかさんだり、拠点間の通信ができなかったり等のデメリットがありました。
その後VPN技術の登場によって専用ネットワークの構築におけるコストや時間などが節約されました。VPN接続は、本社と拠点1対1の通信だけでなく、拠点同士の通信も可能にします。全国に拠点(支社)があるような企業でも、セキュリティと安定性を確保しながら低コストで通信できるという理由で、VPN接続が広く受け入れられてきました。VPNには以下のような種類があります。
インターネットVPN
インターネットVPNとは、インターネット上に暗号化された専用の通信経路を形成し、仮想的な組織内ネットワークを構築するものです。各拠点のインターネットとLANの境界に設置された通信機器によりデータを暗号化して送信し、また、他の拠点から受信したデータを復号してLANに再送信します。暗号化にはIPsecやPPTP、SSLなどの通信プロトコルが用いられます。
IP-VPN
IP-VPNは大手の通信事業者が用意している閉域網を利用したVPNです。地理的に離れた構内ネットワーク(LAN)同士を接続して一体的に運用します。インターネットと同じくIPで通信するネットワークを用いますが、通信事業者が単独で構築・運用する閉じられた回線網という違いがあります。そのため、インターネットのように複数の事業者の機器や回線を経由することはなく、セキュリティの確保や品質制御などで格段に優れています。複数の契約者のデータが同じネットワークに流れるため、通信速度の保証などは行われないことが多いです。
エントリーVPN
エントリーVPNは、インターネットを利用せず、安価な光ブロードバンド回線と閉域網を使い、ネットワークを構築するものです。特定の人しか利用できないため、セキュリティを担保しつつ、低コストで導入することができます。
広域イーサネット
広域イーサネットは、ネットワーク構築における自由度が高いのが特長です。そのため、企業のITシステム担当が自社に適したネットワークシステムに変えることも可能です。ただし、提供業者によって、通信できる帯域の範囲が狭い・回線の選択肢が少ない・回線の費用が高いといった特長もあります。
VPNのメリット
通信内容を暗号化し安全な通信を可能にする
外出先などから社内サーバやシステムにアクセスする機会も増え、企業にはより安全な通信環境が求められるようになりました。VPNには、通信内容の盗み見などから守る暗号化機能やセキュアなアクセス経路を確保するトンネリング機能などが搭載されており、安全な通信環境でデータ通信をおこなうことができます。無料Wi-Fiなどの回線を暗号化して利用することも可能です。
リモートで社内ネットワークへのアクセスが可能
VPNを使えば、PCからはもちろん、モバイル端末からも社内ネットワークにアクセスすることができます。離れた場所からでもセキュアでスピーディーな通信環境を利用できるため、様々な働き方に対応できます。また全国各地、海外に拠点がある場合でも、距離にとらわれずアクセスが可能です。物理的な制約を受けずに疑似的にLANを構築できるのです。
低コストで拠点間通信が可能
前述したように専用線より低コストで専用線に近いセキュリティを実現できます。そして自社と拠点間のみの通信しかできない専用線と違って、拠点間同士でもセキュアな環境下で通信することを可能にします。特にインターネットVPNは既存のネット環境を利用するため運用コストも安く、必要となるルーターも安価な製品が多いので初期費用も抑えることができます。
VPNで気を付けたいセキュリティリスク
安全だと言われているVPNですが、情報漏えいの可能性がゼロではありません。導入しやすく人気のインターネットVPNの場合だと、インターネット上でデータをやり取りするため、第三者による攻撃や情報漏えいのリスクを拭いきれません。また、VPNの初期設定を誤ってしまうと、DNSやIP漏えいに繋がってしまう可能性があります。そして最近には実際に、VPNを実現するための装置を狙ったサイバー攻撃が増加しています。
複数の SSL VPN 製品の脆弱性に関する注意喚起 2019-09-06
JPCERT/CC では、複数の SSL VPN 製品の脆弱性について、脆弱性に対する実証コードなどの詳細な情報が公表されていることを確認しています。
- Palo Alto Networks (CVE-2019-1579)
- Fortinet (CVE-2018-13379)
- Pulse Secure (CVE-2019-11510)
これらの脆弱性を悪用された場合に、攻撃者がリモートから任意のコードを実行できる可能性 (CVE-2019-1579) や、任意のファイルを読み取り、認証情報などの機微な情報を取得する可能性 (CVE-2018-13379, CVE-2019-11510) があります。なお、脆弱性の報告者からは、それぞれの製品について、上記以外の脆弱性情報も公開されています。実証コードなどの詳細情報が公開されていることからも、脆弱性を悪用される可能性が考えられるため、対象となるシステムを使用している場合、早急に対策を実施することを推奨します。
引用:JPCERT/CC
複数の Citrix 製品の脆弱性 (CVE-2019-19781) に関する注意喚起 2020-01-27
JPCERT/CC では、Citrix Application Delivery Controller および Citrix Gatewayの脆弱性 (CVE-2019-19781) について、脆弱性に対する実証コードなどの詳細な情報が公表されていることを確認しています。本脆弱性を悪用された場合、遠隔の第三者が任意のコードを実行する可能性があります。
本脆弱性について、Bad Packets 社より 2020年1月12日 (現地時間) に、脆弱性の悪用を狙ったとみられるスキャンを確認したとの情報が公開されました。
引用:JPCERT/CC
この様に、JPCERT/CCはPulse Secure社製品の脆弱性やCitrix社製品の脆弱性について注意を喚起しています。今年になってからもこの脆弱性が攻撃に悪用された事案が伝えられているということです。例えばPulse Secure社製品で脆弱性を悪用されると、認証を回避されPulse Connect Secure上の任意のファイルを読み取られる可能性があります。そして過去にログインをしたユーザーのユーザー名とパスワードを平文でキャッシュしたファイルや、認証に用いられたセッション情報などの閲覧が可能になります。これら認証情報を窃取した攻撃者は、正規ユーザーになりすましてSSL-VPNに接続できるようになります。JPCERT/CCによると、特にCVE-2019-11510は、認証情報を窃取しVPNを介した内部ネットワークへのアクセスを可能にさせるため、情報の漏えいや改ざんが引き起こされる深刻な脅威をはらむものとして警告されています。
こうした脅威を回避するには、ベンダーが提供するアップデートを都度適用し、ユーザーID・パスワードによる認証のみに依らず、ワンタイムパスワードなどを加えた二要素認証を導入して認証レベルを強化することが推奨されています。しかし、ゼロデイ攻撃によりアップデートが間に合わない場合も想定できますし、認証が破られてしまえば、機密情報や個人情報を盗み取られてしまいます。最後はPCやサーバ内のデータをきちんと暗号化しておくといった対策や、多層防御を取り入れることも必要な選択肢のひとつとなり得ます。
さいごに
VPN導入にはコストの削減といったメリットがありますが、その特性を理解して設計・設定・運用を行わなければ、非常にリスクが高くコストがかかるサービスにもなりえます。とりあえずVPNを導入するのではなく、仕組みやセキュリティをしっかり把握し、自社の目的にあったVPNを選ぶようにしましょう。そしてVPNを過信せず、脆弱性の攻撃によって高まる情報漏えいのリスクも想定した上で、大事なデータを守るためのセキュリティ対策を予め行っておくことが必要です。
