企業にテレワークが定着した今、VPN（Virtual Private Network）は多くの組織にとって欠かせないインフラとなりました。しかし、この便利な技術が攻撃者にとって格好の標的となっていることをご存知でしょうか。

警察庁が公表した「令和6年におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェア被害の感染経路のうち半数以上がVPN機器からの侵入という衝撃的なデータが示されています[1]。リモートデスクトップ経由を含めると、実に8割以上がリモートアクセス環境を狙った攻撃です。

本記事では、VPN機器を経由した侵害（セキュリティインシデント）がなぜこれほど深刻な問題となっているのか、具体的な被害パターンと対策について解説します。

VPN機器を狙った攻撃には、いくつかの典型的なパターンが存在します。それぞれの手法と実際の被害例を見ていきましょう。

VPN製品に存在する既知の脆弱性やゼロデイ脆弱性を悪用し、認証を回避して直接システムに侵入する手法です。

具体的な被害例： 2024年1月に発生したIvanti Connect Secure製品のゼロデイ攻撃事例では、認証バイパス脆弱性（CVE-2023-46805）とコマンドインジェクション脆弱性（CVE-2023-21887）が組み合わせて悪用され、米国サイバーセキュリティー・インフラセキュリティー庁（CISA）が注意喚起を行いました[2]。JPCERT/CCは日本国内でも侵害事案が発生している可能性を指摘しており、大きな脅威となりました[3]。

また、2024年4月には**Palo Alto Networks PAN-OSの脆弱性（CVE-2024-3400）**を悪用したOperation MidnightEclipse攻撃が発見されました[4]。この脆弱性はCVSS評価が10.0（最高値）で、認証されていない攻撃者がリモートからroot権限で任意のコマンドを実行できるという極めて危険なものでした。

フィッシングやマルウェアを通じて正規のVPN認証情報を盗み、正規ユーザーになりすまして侵入する手法です。

具体的な被害例： フィッシング対策協議会の報告によれば、国内のフィッシング届出件数は年々増加しており、2024年も高水準で推移しています[5]。このレポートでは言及されていませんが、企業の従業員を標的としたフィッシング攻撃により、VPNのIDとパスワードが窃取され、それを利用して社内ネットワークが侵害されるケースもあります。

攻撃者は窃取した認証情報を闇市場で売買することもあり、Trend Microの報告では、VPN機器の認証情報が実際に取引されている実態が明らかになっています[6]。

脆弱なパスワードや一般的なパスワードを大量に試行し、認証を突破する手法です。

具体的な被害例： 2024年4月、Cisco社はVPN機器を標的とした大規模なブルートフォース攻撃が世界的に増加していると警告を発しました[7]。こういった事例は頻繁に発生しており、Cisco製品に限らず各社がしばしば注意喚起を行っています。

デフォルト設定のまま運用されているVPN機器や、適切に設定されていない機器を狙った攻撃です。

具体的な被害例： 多要素認証（MFA）が導入されていないVPN環境では、パスワードのみで認証が完了してしまうため、認証情報が漏えいした際に即座に侵入を許してしまいます。また、パッチ適用が遅れている機器では、公開済みの脆弱性を悪用した自動化攻撃の標的となり、大規模な被害に発展するケースが報告されています。

VPN機器からの侵害が特に深刻なのは、以下の理由によります。

VPN機器はネットワーク境界に位置し、外部と内部を接続する「正面玄関」の役割を果たしています。ここを突破されると、攻撃者は正規のアクセス経路を使って社内ネットワークに入り込むため、検知が極めて困難です。

通常のマルウェア感染やフィッシング攻撃の場合、エンドポイント端末から侵入するため、ある程度セキュリティソフトでの検知が期待できます。しかし、VPN経由の侵入では、攻撃者は最初から「内部の人間」として振る舞うことができます。

VPN機器が侵害されると、接続されている全ての社内システムやデータにアクセス可能となります。攻撃者は内部ネットワークを自由に探索し、Active Directoryなどの認証基盤を侵害することで、組織全体へと被害が拡大していきます。

攻撃者はVPN機器にバックドアを仕掛けることで、長期間にわたって気づかれることなく侵害を継続し続けることができます。一般的に、VPN機器にアンチウイルスやEDRは導入できません。

VPN機器は可用性が重視されるため、パッチ適用のための停止が難しく、脆弱性が放置されるケースがあります。

VPN機器を安全に運用するためには、多層的なセキュリティ対策が不可欠です。

多要素認証（MFA）の必須化は最も基本的かつ効果的な対策です。パスワードに加えて、トークンや生体認証などの追加要素を要求することで、認証情報が漏えいした場合でも不正アクセスを防ぐことができます。

VPN関連のCVE（共通脆弱性識別子）は2020年から2024年までに82.5％増加しており、そのうち約60％が「重要（High）」または「緊急（Critical）」に分類されています[8]。

定期的な脆弱性スキャンの実施と、ベンダーが提供するセキュリティパッチの迅速な適用が重要です。特にゼロデイ脆弱性に対しては、ベンダーの緊急アドバイザリーを監視し、即座に対応できる体制を整える必要があります。

VPN経由の不審なアクセスを検知するため、リアルタイムでのログ監視が欠かせません。具体的には以下の項目を監視します：

• 通常と異なる時間帯や場所からのアクセス
• 短時間での大量ファイルアクセス
• 管理者権限での不審な操作
• 失敗した認証試行の急増

SIEM（セキュリティ情報イベント管理）ツールを活用し、異常を検知した際には迅速に対応できる体制を構築することが求められます。

最小権限の原則に基づき、各ユーザーが業務に必要な最小限のリソースにのみアクセスできるよう制限します。VPN接続後も、ユーザーごとに細かくアクセス権限を設定することで、侵害された場合の被害範囲を限定できます。

定期的な脆弱性診断やペネトレーションテストを実施し、VPN環境の安全性を客観的に評価することが重要です。外部のセキュリティ専門家による評価により、見落としていた弱点を発見できることがあります。

フィッシング攻撃やマルウェアへの耐性を高めるため、従業員への継続的なセキュリティ教育が必要です。不審メール対応訓練や、最新の攻撃手法に関する情報共有を定期的に行いましょう。

近年、「脱VPN」という言葉とともに、ゼロトラストネットワークアクセス（ZTNA）への移行が注目されています[3]。しかし、VPNの廃止には慎重な検討が必要です。

ZTNAは「すべてを疑う」というゼロトラストの原則に基づき、ユーザーやデバイスの信頼性を常に検証しながらアクセスを許可します。これによりVPNの課題を解決し、以下を実現できます：

• スケーラビリティの向上
• 細かいアクセス制御の実現
• ユーザーごとの動的なアクセス許可
• ネットワーク全体への侵入を防ぐマイクロセグメンテーション

ただし、VPNからZTNAへの移行には以下の課題があります：

1. 移行コストと時間 既存のVPN環境を完全に置き換えるには、多大なコストと時間がかかります。特に中小企業にとっては、予算やリソースの確保が大きなハードルとなります。

2. レガシーシステムとの互換性 古いシステムやアプリケーションはZTNAに対応していない場合があり、完全な移行が困難なケースがあります。

3. 運用の複雑化 ZTNAの導入初期は、運用が複雑になる可能性があります。適切なポリシー設定と、ITチームのスキルアップが必要です。

4. ハイブリッド運用の必要性 多くの企業では、当面の間VPNとZTNAを併用するハイブリッド運用が現実的です。この場合、両方のセキュリティを適切に管理する必要があります。

「脱VPN」を目指すよりも、VPNのセキュリティを強化しながら、段階的にゼロトラストアーキテクチャを導入していくアプローチが推奨されます。重要なシステムから順次ZTNAに移行し、リスクとコストのバランスを取ることが重要です。

VPN機器からの侵害は、現代の企業が直面する最も深刻なセキュリティ脅威の一つです。警察庁のデータが示すとおり、ランサムウェア被害の6割以上がVPN経由であり、その影響は組織全体に及びます。

重要なポイントをまとめると：

1. VPNは攻撃者の主要な侵入口であり、脆弱性悪用、認証情報窃取、ブルートフォース攻撃など多様な手法で狙われている
2. 他の侵入経路と比べて深刻な理由は、ネットワーク境界の突破、広範囲への影響、持続的侵害の可能性、パッチ適用の困難さにある
3. 多層的なセキュリティ対策が不可欠であり、MFA、パッチ管理、ログ監視、アクセス制御、定期評価、ユーザー教育を組み合わせて実施する必要がある
4. 「脱VPN」は慎重に進めるべきであり、コスト、互換性、運用の複雑さを考慮し、段階的なゼロトラスト導入が現実的

VPNのセキュリティ対策は、単なるIT部門の課題ではなく、組織全体のビジネス継続性に関わる経営課題です。自社のVPN環境を今一度見直し、適切な対策が講じられているか確認することをお勧めします。

VPN環境のセキュリティでお困りのことがありましたら、専門家にご相談ください。

• インシデント（セキュリティ事故）対応サービス
• 危機管理コンサルティングサービス
• デジタルフォレンジックサービス
• 定期ログ分析サービス

[1] 警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」

https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6/R06_cyber_jousei.pdf

[2] CISA「Threat Actors Exploit Multiple Vulnerabilities in Ivanti Connect Secure and Policy Secure Gateways」

https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gatewayshttps://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060b

[3] JPCERT/CC「Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性（CVE-2023-46805およびCVE-2024-21887）に関する注意喚起」

https://www.jpcert.or.jp/at/2024/at240002.html

[4] Palo Alto Networks Unit 42「Operation MidnightEclipse、CVE-2024-3400 に関連するエクスプロイト後の活動」

https://unit42.paloaltonetworks.jp/cve-2024-3400/

[5] フィッシング対策協議会「フィッシングレポート 2025」

https://www.antiphishing.jp/report/phishing_report_2024.pdfhttps://www.antiphishing.jp/report/phishing_report_2025.pdf

[6] Trend Micro「VPN、サイバー攻撃被害に共通するセキュリティの注意点」

https://www.trendmicro.com/ja_jp/jp-security/23/d/securitytrend-20230426-02.html

[7] Cisco Talos「Large-scale brute-force activity targeting VPNs, SSH services with commonly used login credentials」

https://blog.talosintelligence.com/large-scale-brute-force-activity-targeting-vpns-ssh-services-with-commonly-used-login-credentials/

[8] Zscaler「2025年版 Zscaler ThreatLabz VPNリスク レポート」

https://www.zscaler.com/jp/press/zscaler-threatlabz-2025-vpn-risk-report-over-half-organizations-say-security-and-compliance