VPN経由の侵入・攻撃が日本でも深刻な被害が増加しています。

警察庁の調査によると、ランサムウェア被害のうち、VPNやリモートデスクトップ経由の侵入が感染経路の8割以上を占めており、安易なパスワードや不要アカウントの放置が主な原因として挙げられます。
海外支社の管理不備を突かれて国内本社が被害に遭う事例や、テスト用アカウントの認証情報を悪用された事例も確認されています。
また、攻撃者は金曜夜に侵入して週明けまでに暗号化を実行するなど、組織の隙を突く手口を使います。

(参照)サイバー空間をめぐる脅威の情勢等(PDF)

実際の被害

某大手電子機器メーカーでは2024年にランサムウェア攻撃を受け、従業員・取引先・顧客の個人情報が漏洩した可能性があると公表しました。

受発注システムの停止や製品の発売延期など、業務全体に深刻な影響が及びました。

また、某病院では、VPNの脆弱性に関する注意喚起を事前に受け取っていたにもかかわらず、機器の更新対応が後回しになった結果、ランサムウェア攻撃の被害を受けることになりました。「知っていたのに間に合わなかった」という、非常に悔やまれる事例です。

なぜVPNは狙われやすいのか

VPNが攻撃者に好まれる理由は、その構造にあります。
VPN機器はインターネットに直接露出した状態で設置されます。
言い換えると、世界中からアクセス可能な「入口」がインターネット上に存在し続けるということです。攻撃者はスキャンツールを使って脆弱なVPN機器を自動的に探し出し、次々と攻撃を仕掛けます。

さらに厄介なのがVPNの認証を突破された場合の被害範囲です。
VPNは「社内ネットワーク全体への入口」として機能するため、一度突破されると攻撃者は内部を自由に横移動できます。どのサーバーに何のデータがあるかを探り、ランサムウェアを展開するまでの時間は、思いのほか短いのです。

パッチ適用の遅れがネック

深刻な課題は、セキュリティ修正プログラム(パッチ)の適用遅れです。
実際、被害を受けた組織のうち約5割がパッチを未適用の状態だったと警察庁の調査で報告されています(令和6年上半期)。
VPN機器はオンプレミス(社内設置型)の専用機器であるため、ファームウェアの更新には業務を止めてメンテナンスの時間を確保する必要があります。
「重要な脆弱性が見つかったが、月末の繁忙期が過ぎてから対処しよう」このような判断が命取りになります。
脆弱性(セキュリティ上の欠陥)が公開されると、それを悪用する攻撃コードもほぼ同時にインターネット上に出回ります。

修正プログラムが適用されるまでの数日から数週間、機器は無防備なまま攻撃にさらされ続けます。先述の某病院の事例は、まさにこの構造的な問題が招いた結果でした。

Cloudflareを使うと何が変わるか

Cloudflareのアプローチは、VPNの構造的な問題を根本から変えるものです。
わかりやすく言うと、ウェブサイトのセキュリティ対策と同じ発想です。

Cloudflareでウェブサイトを保護する場合、DNSをCloudflareに向けてプロキシをONにすることで、攻撃者からオリジンサーバーのIPアドレスが見えなくなります。社内システムへのアクセス保護も、これと同じ考え方で実現できます。

露出をゼロにする(Cloudflare Tunnel)

従来のVPN機器は「外からの接続を待ち受ける」構造のため、インターネット側に開放しておく必要がありました。
このドアが攻撃者にも見えてしまうことが問題です。
Cloudflare Tunnelは逆で、社内サーバーが自分からCloudflareに接続しに行くため、インターネット側に開放する入口がゼロになります。

アプリ単位で制御する(Cloudflare Access)

従来のVPNは「認証が通れば社内ネットワーク全体に接続できる」構造でした。
Cloudflare Accessはアプリケーションごとにアクセスポリシーを設定するため、仮に認証情報が漏洩しても、攻撃者が横移動できる範囲を最小限に抑えられます。

パッチ問題の解消

CloudflareのエッジはCloudflare側が常時管理・更新しています。
新たな脆弱性が発見されても、ユーザー側が作業しなくてもエッジ側で対処されます。「通知を受けたのに更新が間に合わなかった」という事態を、構造的に回避できるのです。
これはオンプレミスのVPN機器との根本的な違いです。

注意点

ただし、注意すべき点もあります。
まず、社員アカウントの管理は依然として重要です。Cloudflare Accessは、MicrosoftやGoogleなどの認証サービスと連携してログインを管理しますが、そのアカウント自体が乗っ取られれば突破されます。パスワードの使い回しや、退職者アカウントの放置には引き続き注意が必要です。

まとめ

VPNが狙われ続けている理由は、製品の品質の問題ではなく、構造的な問題です。
インターネットに露出した入口を持ち、パッチ適用に人手と時間がかかるアーキテクチャそのものに、リスクの根本があります。

Cloudflareのゼロトラストは入口を隠す、アプリ単位で制御する、脆弱性への対応が常に早い、という3つのアプローチで、この構造的な問題に対処します。

Web表示スピード改善・セキュリティ対策のCloudflare

導入のご相談だけでなく、運用フェーズでのサポートも承ります。
DDoS攻撃や悪質なBot(ボット)からのアクセスを防ぎたい方、WAF機能やプランの詳細を知りたい方、
国内エンジニアによる安心の運用サポートをご希望の方も、ぜひお気軽にお問い合わせください。

さらに詳しい情報を見る
資料をダウンロード(PDF) 無料の診断や導入トライアルご希望など
お問い合わせはこちら