新型コロナウイルスのパンデミックを捉える一つの見方はこうだ。これまで見過ごされがちだったが不可欠なセキュアネットワーキングの要素が、爆発的に増えるユーザー基盤にどこまで耐えられるかという社会的実験である。案の定、突然リモートワーク要員を管理することになった企業が仮想プライベートネットワーク(VPN)を急速に導入したことには、重大なセキュリティコストが伴った。
スウェーデンのブレキンゲ工科大学の研究者は、2025年の論文で、2020年から2022年(コロナ禍のロックダウンがピークだった年)にかけてVPNを標的とした攻撃が238%急増したと数え上げた。この研究は、GoogleやBrightTALKなどを含む情報源からの81件の報告を対象にしたメタ分析である。
パンデミックによりリモートワーク人口は3分の1増加し、組織はVPNの導入へと殺到した。VPNとは、公衆ネットワーク上で暗号化されたネットワークトンネリングを提供するソフトウェアおよびハードウェアのアプリケーションである。研究者は、そうした新規VPNユーザーのほとんどが、関連するサイバー脅威を撃退する準備ができていなかったと結論づけた。
脅威アクターは、露出したゲートウェイ、データの誤設定、未修正の脆弱性を積極的に探し始めた。研究者は「多くのVPN接続にはエンドポイント制御やネットワークセグメンテーションが欠けており、攻撃者が文字どおり企業ネットワーク全体を横断して移動できた」と述べた。
Bitdefenderのテクニカルソリューション・ディレクターであるMartin Zugec氏は、Information Security Media Groupに対し、VPNは「必ずしも保護が難しいわけではない」と語った。しかし、導入のスピードが速かったことと、企業側の技術に対する相対的な経験不足が、運用管理を難しくしたという。
「COVID-19の最中、あらゆる規模の組織が大量のリモートアクセスに対する迅速な解決策を必要とし、VPNは最も安全な長期モデルではないにもかかわらず、最短の道を提供しました。真の難しさは、拡大した攻撃対象領域全体でセキュリティを維持するために必要な、継続的な管理、監視、そしてスケールにあります」と同氏は述べた。
Zugec氏によれば、多くの組織、特に中小企業は、継続的な監督の必要性を考慮せず、VPNの導入をもってセキュリティの問題が「解決した」と誤って捉えていた。
パッチ適用、是正、脅威監視を怠ったままVPNを導入した組織は、パンデミック中およびその後にネットワークが悪用される土台を作ってしまった。研究者によれば、パンデミック後はVPN攻撃の発生率は低下したが、VPNは依然として継続的なリスク源であり、SonicWall SSL VPNやIvanti Connect Secureの最近の顧客がそれを証明している。
研究者によれば、パンデミック期にVPN攻撃が急増した背景要因の一つは、専門家の支援なしに実行するVPN顧客に対するガイダンスが不足していたことだという。彼らは、すべての組織が従うべき強化フレームワークを提案した。
- 強力な認証とアクセス制御
- 多要素認証;
- アクセス制御リスト。
- IPsec;
- Internet Key Exchange バージョン2;
- OpenVPNプロトコル;
- WireGuardプロトコル;
- AES256暗号化;
- CRYSTALS-Kyber暗号化。
- システムにパッチを適用し続ける;
- ネットワークセグメンテーション。
- ログ;
- 侵入検知システムおよび侵入防止システム;
- ペネトレーションテスト。
翻訳元: https://www.databreachtoday.com/enduring-attack-surface-vpns-a-30446
