ランサムウェアの感染経路はVPNが最多｜VPNのセキュリティーリスクと対策について解説

近年のランサムウェア攻撃では、とくにVPNの脆弱性を突いた侵入が最も多く確認されています。警察庁のデータによると、2024年にランサムウェア被害に遭った100企業・団体のうち、55％がVPN経由で発生しており、他の経路を大きく上回る結果になりました。

攻撃者はVPN装置の脆弱性を悪用して認証を回避したり、漏えいしたIDやパスワードを利用して不正アクセスを行います。侵入後は社内ネットワークを探し回り、パソコンやサーバーに保存された業務データを次々と暗号化し、使えなくしたうえで身代金を要求するのが典型的な手口です。

とくにテレワークの普及によりVPNの利用は拡大しており、規模を問わず企業に深刻なリスクをもたらしています。

出典：警視庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」

VPN（Virtual Private Network）とは、日本語で「仮想専用通信網」と呼ばれる技術です。もともと本社と支社のような離れた拠点をつなぐには専用回線が使われてきましたが、工事費や維持費が高額で導入は簡単ではありませんでした。

そこで登場したのがVPNです。インターネットの共用回線を利用しながら、暗号化や認証といった仕組みによって、あたかも専用回線のように安全な通信を実現できます。

イメージとしては、誰もが使う道路を走りながらも、自分の車の中ではプライバシーが守られているようなものです。共用の回線を使いつつ一定の安全性を確保できるため、コストを抑えながら安心して利用できます。

この安全性を支えているのが「暗号化」と「認証」です。暗号化によって通信内容は外部から読み取れず、万が一漏えいしても解読される心配はほとんどありません。さらに認証によって利用者が正しい権限を持つことを確認できるため、不正な侵入を防げます。

こうした仕組みにより、VPNは企業の拠点間通信やテレワーク、公衆Wi-Fi利用時など幅広い場面で安心を支える手段として活用されています。

VPNが狙われやすい理由の一つは、その仕組み上、インターネットと内部ネットワークの接続ポイントとなるためです。セキュリティーパッチの適用が不十分なまま放置されれば、既知の脆弱性を突かれて内部ネットワークに侵入される危険が高まります。

また、弱い認証情報を使用していれば不正ログインのリスクも高まり、攻撃者に内部ネットワーク侵入のきっかけを与えてしまいます。

さらにVPNは、利用者の端末と企業のネットワークを同一の環境に接続するため、もし利用端末が感染していれば社内全体へランサムウェアが広がるリスクも抱えています。侵入後に攻撃者がネットワーク内を自由に移動しても、侵害をすぐに検知できないケースが多く、大規模被害につながりやすいのも特徴です。

こうした背景から、VPNは攻撃者にとって効率的かつ魅力的なターゲットになっているため、脆弱性の修正パッチ適用、監視体制の整備が欠かせません。

近年、VPNの脆弱性が放置されたままの状況が、ランサムウェア犯罪において深刻な被害を招いています。

ある病院では、外部ベンダーによるリモート保守用VPN機器に手が加えられた脆弱性が原因で、システム全体がランサムウェアに感染。結果として数百台に及ぶ端末が暗号化され、救急や外来診療を含む医療業務が停滞しました。

また、ある港湾施設では、保守業務に用いられるVPN経由でランサムウェアが侵入し、サーバー上のデータが暗号化されました。その結果、コンテナの搬出入作業が一時停止に追い込まれた被害も発生しています。

さらに別の事例では、VPN機器の更新が滞っていた医療機関にランサムウェア攻撃が発生。共有フォルダー内の患者情報がダークウェブに公開され、多数の個人情報が流出しました。

脆弱性や認証情報の管理不足を突かれるとランサムウェア攻撃を防ぐには、技術的な対策と運用面での工夫を組み合わせることが重要です。

ここでは、ランサムウェア攻撃を防ぐために企業が取り組むべき対策を解説します。

VPNへの不正アクセスを防ぐには、多要素認証の導入が有効です。従来のID・パスワード認証に加え、スマートフォンアプリによるワンタイムパスコード、生体認証などを組み合わせることで、認証の強度を高められます。

CISA（米国サイバーセキュリティー・インフラセキュリティー庁）も推奨しており、とくにテレワーク環境においては重要な防御策の一つです。

実際のランサムウェア被害では、多要素認証を導入していなかったVPNが攻撃者の侵入口となったケースも確認されています。多要素認証を設定しておけば、仮にIDやパスワードが漏えいしても、攻撃者は追加の認証要素を突破できない限り侵入できません。結果として、被害を未然に防ぐ抑止力となります。

既知の脆弱性が修正されないまま放置されることも、VPN機器がランサムウェア攻撃に狙われやすい原因です。警察庁の報告では、脆弱性に対するパッチ未適用が約半数にも上ることが明らかになっており、これにより攻撃の入り口が広がる危険性が高まります。

また、JPCERT/CCが指摘したFortinet社製VPN機器の脆弱性では、既に修正済みの最新版が公開されており、常に最新バージョンへの更新が求められています。

対策として、VPN機器のセキュリティーパッチの迅速な適用は最優先事項です。

従来のVPNは、一度接続が許可されるとネットワーク全体にアクセスできるため、ランサムウェアの拡大を許してしまうリスクがありました。

一方で、ZTNA（Zero Trust Network Access）はユーザーやデバイス、アクセス先をきめ細かく確認したうえで必要なアプリやサービスだけにアクセスを制限します。これにより、侵入者が社内ネットワークを自由に移動できる可能性が減少し、ランサムウェア感染の深刻化を防止可能です。

ZTNAは認証・デバイス整合性・アクセスコンテキストを継続的に評価するため、安全性と柔軟性を両立できる次世代のアクセス方式として注目されています。

VPNを安全に運用するためには、技術的対策だけでなく、従業員のセキュリティー意識の向上も不可欠です。定期的なセキュリティー教育を通じて、不審なメールのリンクや添付ファイルを開かない、業務に無関係なサイトやフリーソフトを使用しない、といった基本的な注意事項を周知するのが効果的です。

さらに、VPNの認証情報の管理や端末の更新管理など、実践に即した運用ルールについても教育内容に含めることで、セキュリティーの運用面を強化できます。

こうした教育と運用ルールの整備によって、従業員一人ひとりがセキュリティー対策の最後の砦として機能し、VPNを通じたランサムウェアなどのサイバーリスクを軽減できます。

ランサムウェアは、今やあらゆる企業や団体にとって無視できない脅威となっています。とくにVPN機器は社外から社内ネットワークに接続するための重要な入口である一方、その脆弱性が突かれて攻撃に悪用される事例が後を絶ちません。

こうした被害を防ぐには、多要素認証の設定やファームウェアの更新、ZTNAの導入など複数の対策を組み合わせることが被害防止の鍵です。また、従業員一人ひとりのセキュリティー意識の向上、教育や運用ルールの徹底が実効性のある防御につながります。

技術的・人的な両面からのセキュリティー対策を整え、安心してテレワークや拠点間通信を行える環境を築くことが、事業継続のために不可欠です。

富士フイルムビジネスイノベーションでは、セキュリティーを含む幅広いDX支援サービスを提供しています。自社の環境に合った最適な対策をご検討の際は、ぜひご相談ください。