テレワーク時におけるリスク!VPN製品に潜む脆弱性
新型コロナウイルスの感染拡大により全国に緊急事態宣言が発令され、社会的にもテレワークの必要性が求められる状況になった。そこで、社内と同じネットワーク環境を社外に構築するシステムであるVPN(仮想私設網)技術を導入する流れとなるが、このVPNシステムの脆弱性に問題があると日経新聞で報告がなされている。
その他にも、VPNシステムに接続することが困難である、処理速度が遅すぎるなど、日常業務を行っていた状況とは異なる事態も生じており、テレワークを効率よく行っていくにはまだまだ問題がある状況である。
脆弱性が問題視されているVPNサーバー
先にも述べたように、VPNシステムの導入により様々な業務上の不満が生じており、安定運用を行うために、VPNサーバーの追加導入や回線の増強、運用方法の工夫を求められているシステム管理者も多い。 安定運用はもちろん重要だが、一番の注意点として、それ以上に気をつけるべきはセキュリティー対策となる。
劇的な社会状況の変化により、セキュリティー対策が完全に整わない状況でテレワークに移行する企業も多く、攻撃者は企業ネットワークの入り口となるVPNサーバーの脆弱性を狙っているからである。
脆弱性を有するVPNサーバーは全世界で1万4500台
日本国内のセキュリティー対策組織であるJPCERT(ジェーピーサート)は、あるVPN製品に危険な脆弱性が見つかったと報告し、注意喚起している。
VPN製品の脆弱性を悪用されると、不正アクセスやなどで遠隔地から任意のファイルを不正取得されたり、文書が改ざんされたりする恐れがある。報告がなされた製品についてはそれぞれ修正プログラムの公開がされているが、修正プログラムのバージョンアップを行わないで運用されている危険な状態の製品も世界中に存在し、リスクを含んだ運用がなされている状況もある。
この脆弱性を抱えたままインターネット上で運用されていたVPNサーバーは世界で1万4500台あり、そのうち1511台は日本国にあるとのことです。
国内でリスクを有するVPNサーバーの状況
脆弱性が指摘され、リスクを含んだ状況のVPNサーバーについてはその後対策が進み、脆弱性を有するVPNサーバーは徐々に減少している。JPCERTによると、前述のように当初1511件確認された脆弱なVPNサーバーは、下表に記載された時点で残り298件にまで減っている。
徐々に減少していることは明らかであるが、危険なVPNサーバーはまだ300弱も残っており、依然としてとして全てのリスクの解決はなされていない。
出典:JPCERT/CC 脆弱性(CVE-2019-11510)がある国内のパルスセキュア製品サーバー数の推移
テレワークの導入により、自宅で勤務している人の多くにとってVPNの技術は必要不可欠な技術であるといえる。このVPN技術にリスクが生じて、不正アクセスなどが起こるようなことになれば、感染リスクを冒して出社しなければならないような事態になり、これでは本末転倒である。
システム管理者担当者は自社のVPNサーバーに問題がないか改めて確認し、問題があればすぐに対策を実施して企業防衛を推進する必要があるだろう。