メニュー
セキュリティ

VPNの情報漏洩事例から読みとく、セキュリティ対策6選

無料

サービス紹介やお役立ち資料を
無料でご活用いただけます

この記事の5つのポイント

  • 脆弱性を正しく理解する
  • 情報漏洩はどんな企業にも起こりうる
  • 最新のパッチを当て続けることは難しい
  • 有効なセキュリティ対策を6つのご紹介
  • 万一情報漏洩が疑われた場合の対応法

「脆弱性」とは何か

脆弱性とは、ソフトウェアに発生した不具合などによる欠陥を指します。脆弱性そのものは、どんな製品にも存在し、悪意ある第三者は、その弱点を突いて企業の重要情報を窃取しようと試みます。企業などの守る側は可能な限り万全な対策を施しますが、パッチの適用漏れや未知の脆弱性に対する攻撃など、さまざまな要因が重なって実際に情報が漏洩してしまった事例が多くあります。ここでは具体的な例を挙げながら、原因の分析と対策を紹介します。

脆弱性にはさまざまなレベルがある

まず脆弱性にはさまざまなレベルのものが存在しており、脆弱性の内容については、コンピューターセキュリティの欠陥リストとして、CVE(共通脆弱性識別子)のIDと共に一般公開されており、内容を確認することができます。また、日本においては、IPAJPCERT/CCが運営するJVN番号も有名です。(https://jvn.jp/

情報漏洩に至った背景とは

IPA(独立行政法人情報処理推進機構セキュリティセンター)が公開している「情報セキュリティ10大脅威2021」では、組織向け脅威の3位に「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクイン。その中でVPNルーターに対する脆弱性の悪用によってVPNのパスワードが流出し、約900件の認証情報がインターネット上で公開されていた事件が挙げられています。今回はこの一例を解きほぐしていきます。

二つの脆弱性が合わさって被害が拡大した事例

2020年8月、VPNソリューションを展開するアメリカのPulse Secure社の装置が脆弱性を突かれて情報漏洩に至りました。ただ、この脆弱性は2019年4月に公開されており(識別番号:CVE-2019-11510)、容易に悪用できる脆弱性であったこともあり、パッチの適用が呼びかけられておりました。

また、その前段階として、VPNルーターの初期パスワードが端末内に平文で保存されていたという脆弱性も過去に発見されており、それに加えてCVE-2019-11539とCVE-2019-11510が併用されたことにより情報が抜き取られるに至ったものと考えられています。

最新のパッチを当て続けることは難しい現状

脆弱性情報の公開後、修正パッチを適用するようメーカーは発信していましたが、その情報を機器を管理するすべての管理者に、確実に届けられるものではありません。保守契約が切れているケースや、商流の複雑化によってエンドユーザーに情報が届かないケースも考えられます。また、情報が届いた場合でもすぐには対応が追い付かないケースも多く、実際、Pulse Secure 社の事例では、当該の脆弱性を持った機器は2019年8月末時点で全世界で1万4500台、日本国内においても1511台があるとされていました。また、JPCERT/CCによれば、2020年4月時点でも国内1500台強のうち、300台弱が対応されないまま放置されていることが判明しています。この事例からもわかるように、メーカーが脆弱性を公表しても、すべてのユーザーにそれを周知させることは難しく、また、現場のIT担当者の負担や工数の不足から、常に最新のパッチを当て続ける運用を確実に行うことが難しい状況が見えてきます。結果的にその運用の不十分さを突かれ認証情報を公開されてしまった企業がでてしまいました。

CVE-2019-11510を持つ国内のPulse Connect Secureホストの数
JPCERTから引用

アプライアンス製品は保守対応が難しい

こうしたアプライアンス製品の保守対応が難しいのは、オンラインアップデートという形(OTA/Over the air)ができないケースがあることが一因ともいえるでしょう。アップデートに伴って内部の設定やユーザーアカウントを初期化されてしまう可能性があるため、設定ファイルを一旦保存し、ファームウェアをアップデートしてから、改めて設定を戻す――という手順が必要な場合があります。また重要な機器であれば、その停止の影響を最小化するために、ユーザーが利用していない時間帯を選んで対応する必要があるなど、どうしても人手を介す煩雑さや、変則的な時間帯に対応が必要なこと、そして定期保守を待ちたいといった理由から、結果的に対応が後手になることが一因でもあるでしょう。

保守をするにはコストがかかる

脆弱性に対する修正はメーカー側で実施されますが、脆弱性の修正を適用する、またそれによる被害が発生した場合、その責任はユーザー側に帰するものです。「脆弱性ゼロ」という状態は技術革新が進む中でも難しいのが現実です。そのため、ユーザーは確実な対応を進めるために、保守契約を締結することでこういったリスクを低減することもできますが、コストの問題はついて回ります。企業側があらかじめ予算計上をしていないと意思決定から実行までに社内決裁などのため、時間を要する場合もあるでしょう。 ここまで、一例としてVPN装置の脆弱性の事例を紹介してきました。セキュリティ対策といっても、さまざまなインシデントがあり対策が難しいと思われるかもしれません。ですが、情報セキュリティの基本は、実はそれほど難しいものではありません。具体的な対策の進め方について説明します。

【対策1】セキュリティ対策の重要性―経営者がリーダーシップをもつ

「我社には、それほど重要な情報はないし。」、「万が一、情報が漏れても大きな被害はないだろう。」そう思っている経営者の方がいたとすると、それは大きな間違いです。例えば、従業員の給与明細や、取引先の連絡先、取引先との売買情報など、重要な情報はどんな企業にも存在します。また、万が一情報漏洩を起こしてしまえば、企業には、金銭的損失、顧客の喪失、業務の停滞、従業員への影響など多岐にわたるダメージがあります。それ以外に、法的責任や、社会的責任を問われることもあり、その影響は計り知れません。

そのため、経営者は、自らリーダーシップを取って対策を進める必要があります。

【対策2】情報セキュリティ対策の基本―情報セキュリティ5か条を徹底する

情報セキュリティ対策というと難しい、と思われるかもしれませんが、セキュリティ対策の基本は、いつの時代も変わりません。以下の情報セキュリティ5か条といわれているものが基本的な対策です。

  • ソフトウェアの脆弱性更新を確実に行う
  • ウイルス対策ソフトウェアを利用する
  • パスワードの管理・認証を強化する
  • 機器の設定など、さまざまな設定を見直す
  • さまざまな脅威や攻撃の手法・手口を知る

このような5か条を参考に社内の現状を整理してみてください。

【対策3】情報セキュリティ対策の取組み―重要7項目の取組みを実施する

情報セキュリティ5か条は、セキュリティ事故を起こさないためには、効果が高い施策です。ただ、重要なのは、この5か条を確実に実行できる体制やプロセスづくり、そして万が一の場合の対応を決めておくことです。それが、『重要7項目の取組』です。重要7項目の取組とは、情報セキュリティを対策の実行を確実にするため、経営者が取組むべきものです。

  • 情報セキュリティに関する組織全体の対応方針を定める
  • 情報セキュリティ対策のための予算や人材を確保する
  • 必要と考えられる対策を検討させ実行を指示する
  • 情報セキュリティ対策に関する適宜の見直しを指示する
  • 緊急時の対応や普及のための体制を整備する
  • 委託や外部サービス利用の際には、セキュリティに対する責任を明確にする
  • 情報セキュリティに関する最新動向を収集する


総務省より引用
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-4.html

【対策4】情報セキュリティ対策の実践―できることから始める

さて、情報セキュリティ対策に取組むための体制やプロセスができあがれば、実践です。ここからは、経営者の重要7項目に従い決めた対策を、実際に従業員に周知し実践に移す段階です。ですが、セキュリティに不慣れな組織の場合、いきなり多くのことをやろうとしても、人材の不足や、経験不足から難しい点もあると思います。そのため、基本対策から段階的にステップアップしていくことも検討してください。

【対策5】点検と改善―より強固にするための方策

情報セキュリティ対策を実践して終わりではありません。日々攻撃手法も進化しますし、一度決めたプロセスでは見落としがあるかもしれません。計画した対策が本当に実行されているのか、見落としている対策はないか。また、業務に変化が起きることで、新たなセキュリティリスクが発生している可能性もあります。そのため、定期的に点検を実施し、その評価行うことで、対策の見直しなど取組の精度を継続して上げていくことが重要です。

総務省より引用
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-1.html

【対策6】仕組みで守る―クラウド型サービスの導入

今回のPulse Secureの件に代表される情報漏洩は、特別なものではなく、基本的に、アプライアンス製品を抱えた場合、VPN装置に限らず、さまざまな製品で起こり得るトラブルです。現在は、さまざまなサービスがオンプレミスからクラウド型へと急速にシフトしています。社内に情報セキュリティの知見や経験が少ない場合、見落としているポイントなどを洗い出すのが困難なケースがあると思います。そのような場合、クラウドサービスの利用も安全性を高める一つの手段です。クラウド型サービスの特長は、ユーザーはサービスを利用するだけでよく、その運用や保守、機器のトラブル対応など様々なものを自社から切り離すことが可能になり、コストのフラット化や、ライセンスの柔軟性、サービス性能のスケールアップ・ダウンが容易に行えるなど様々なメリットを享受できます。VAIOが提供しているソコワクも、その一つです。

クラウド型サービスの大きなメリット

クラウド型サービスとアプライアンス製品を比較・検討された結果、クラウド型サービスで必要なLTV(ライフタイムバリュー)とアプライアンス製品のを比較した場合、アプライアンス製品の方がコストメリットがあるという話を聞くことがあります。ですが、アプライアンス製品を自社運用された場合、さまざまな隠れたコストが存在します。保守費用や、機器の寿命に対するリプレース費用。先ほどの脆弱性の対応にかかるIT管理者の工数といったコスト。機器の故障などトラブルに対応する工数。また冗長化や、スケールアップなどで機器増設などのコストもあるでしょう。何より、クラウド型サービスでは、運用やトラブル対応をIT部門から切り離せることで、安全性・安定性の向上と、運用負担の低減をあわせて得られることは、特に情報システム部門に十分なリソースを割けない中小企業の方々には、大きなメリットがあるといえます。

ただし、クラウド型サービスの設定を誤ると、重要な情報が漏洩してしまうなどのリスクもあります。クラウド型サービスを利用するにあたっても、そういったポイントについては十分に注意が必要です。

万が一被害に遭ってしまったら

万が一、何らかの被害に遭った場合は、社内の関連部署に被害の報告をできる限り早く行うとともに情報が外部に漏れていることが判明した場合には、早期に経営者やセキュリティ対応メンバーへの情報共有が重要です。個人レベルでは、「怪しい」と思ったら一旦ネットワークを切断するの電源を切るなどの物理的遮断を施せば、被害の拡大を防止することが可能です。PCがウイルスに感染してしまい、そのままVPNをつなぐと、会社のネットワークに対しウイルスを拡散させるリスクがあります。また、被害に遭ったPCについては、調査に必要となるため、不用意に状態を変えないことも重要です。

情報セキュリティ委員会やCSIRTを立ち上げよう

また、報告を受けた情報セキュリティ委員会やCSIRT(Computer Security Incident Response Team:セキュリティインシデントに対応する専門チーム)が中心になりインシデント対応体制を取ることになります。まずは、被害を極小化するための対応をとり、不正アクセスなどの可能性がある場合は、ウイルス等がどういったルートで侵入してきたのかなどの原因調査を行う観点で、システム上の証跡を消さないような対応が必要です。また、発見が外部からの情報提供によるものだった場合は、相手の連絡先やどこから情報を得たのかなどの情報も、きちんと報告されるような対応も重要になってきます。情報セキュリティ委員会やCSIRTは、問題を調査し、必要な情報を聞き取るなどして、被害の実態や侵入ルートの特定を行いしかるべき対応を経営者と共に実施してください。また、対策後は、再発防止についても検討が必要となります。

執筆者
ソコワクPlus 編集部

ソコワクPlusを運営する編集部員です。テレワークに求められるリモートアクセス環境やセキュリティについて、役立つ情報を読みやすいコンテンツにまとめ、お届けしていきます。