VPN装置経由の不正アクセス事件が止まらない ― 中小企業がやるべき防御策10選
「VPN装置から侵入され、ランサムウェアに感染、業務停止数週間」 ―― このパターンの被害報道が、2023〜2026年にかけて急増しています。半田病院、徳島・つるぎ町立半田病院、KADOKAWA、名古屋港コンテナターミナル、複数の自治体・製造業 ―― 業種を問わず、**侵入経路の多くが「VPN装置」**でした。
「VPNがあれば社外からの通信は守られる」というかつての常識は、もはや成立しません。本記事ではVPN装置が狙われる理由、過去の代表的な侵害事例の手口、そして中小企業が今日から取り組める防御策10項目を整理します。
なぜVPN装置が真っ先に狙われるのか
1. インターネットに常時公開されている
VPN装置は社外から接続できる必要があるため、WAN側ポート(443、500、4500など)を常時公開しています。攻撃者から見れば「玄関」が常に見えている状態です。
2. パッチ適用が遅れがち
ファイアウォール/VPN装置は止めると業務影響が大きいため、パッチ適用の優先度が下がりがちです。攻撃者は脆弱性公開直後に「未パッチの装置」をスキャンして狙います。
3. 認証が簡素
多要素認証(MFA)が未設定だったり、ローカル認証のID/パスワードのみで運用されているケースがいまだに多く、漏洩・流出した認証情報の使い回し攻撃で容易に突破されます。
4. ログ監視が薄い
ファイアウォール・VPN装置のログは大量で、SIEMに送られていなければ「不審なアクセス」を見落としがちです。
5. 装置の管理画面が外から見える
意外と多いのが管理コンソール(HTTPS管理ポート)が外部から到達可能なケース。CVEが出れば即座に踏み台にされます。
過去の代表的な侵害事例(手口の傾向)
具体名は伏せて手口の傾向を整理します。
A. パッチ未適用の脆弱性悪用(最多)
- FortiOS、Pulse Connect Secure、Citrix ADC、SonicWall、Cisco ASA、SSL-VPN製品で多数のCVEが公開
- 攻撃者はShodan / Censysで公開装置を網羅的にスキャン
- パッチ未適用の装置は数日以内に侵入される
B. 認証情報の流出・使い回し
- ダークウェブで売買される**初期アクセスブローカー(IAB)**から購入したID/PWで侵入
- 過去のフィッシング被害、別サービス漏洩、社員の使い回しパスワードが原因
- MFAが無効・例外設定があれば一発で突破される
C. ゼロデイ攻撃
- 公開前の未知の脆弱性を悪用
- 防御は困難だが、EDRや横移動の検知で被害局限化が可能
D. 設定不備(管理ポート公開、デフォルト設定)
- 管理画面がインターネット公開、初期パスワード未変更、不要サービス有効化
- 装置導入時のセットアップ品質が直接被害に直結
侵入後の典型的な流れは VPN突破 → 内部ネットワーク偵察 → ドメイン管理者奪取 → 横移動 → ランサムウェア展開・データ窃取で、平均2〜10日で全社停止に至ります。
中小企業が今日から取り組むべき防御策10選
1. VPN装置のパッチを「即日〜72時間以内」で適用するルール化
ベンダー(Fortinet、Cisco、SonicWall、Palo Alto、Citrix など)のセキュリティアドバイザリ購読を必ず行い、Critical/Highレベルの脆弱性公開は72時間以内に対応します。「停止できないから後回し」がランサムウェア被害の最大要因です。
2. VPN認証にMFAを必須化する
ローカル認証のID/PWだけで使っている装置は即座にMFAを追加します。Entra ID(Azure AD)、Google Workspace、Okta、Duoなどと連携できます。FortinetならFortiTokenやFortiAuthenticator、SonicWallならMicrosoft Authenticator連携が現実的です。
3. 管理画面をインターネット公開しない
WAN側からの管理ポート(HTTPS管理画面、SSH)への接続は完全に閉じること。管理は社内LAN/管理用VLANまたは専用ジャンプホストから行います。やむを得ず外部から管理する場合はIPアドレス制限+VPN前提とします。
4. SSL-VPNの代わりにIPsec+証明書認証、もしくはZTNAへ移行
SSL-VPN(HTTPS型VPN)はWeb脆弱性の影響を受けやすく、過去のCVEもSSL-VPN由来が多数です。IPsec VPN+証明書認証または**ZTNA(Zero Trust Network Access)**への移行を計画しましょう。詳しくはVPN vs ZTNA:テレワーク時代のネットワーク設計、FortiGate SSL-VPN 廃止対応を参照。
5. EOL(販売・サポート終了)製品を即時リプレースする
サポート切れの装置は永遠にパッチが出ません。Cisco ASAの一部モデル、古いFortiGateモデル、Pulse Secure(Ivanti Secure Access)など、EOL製品はランサムウェア攻撃の温床です。EOL前の更新計画を年単位で立てます。
6. アカウントの棚卸しを四半期ごとに実施
退職者、異動者、ベンダー作業用の一時アカウント、初期セットアップ用アカウントがそのまま残っているケースが極めて多いです。VPNアカウントの一覧を四半期ごとに棚卸しし、不要なものを削除します。
7. VPN接続時の条件付きアクセス(接続元IP・端末状態・時間帯)を有効化
接続元の国制限(海外からの接続を許可しない/業務時間外を制限)、端末の準拠状態(パッチ適用、ウイルス対策稼働)に応じてアクセス可否を判定する仕組みを導入します。Entra ID 条件付きアクセス、Cisco DUO、Okta Adaptive MFAなどで実装可能。
8. EDRとSIEMで「VPN突破後の横移動」を検知
完璧なVPN防御は不可能、という前提で侵入後の動きを止める仕組みを併設します。Microsoft Defender for Endpoint、CrowdStrike、SentinelOneなどのEDRと、Sentinel/Chronicle/Splunkなどのログ集約基盤を組み合わせます。
9. VPN装置のログをSIEMに送る・最低90日保管
ログがなければ、被害発生後の影響範囲特定ができません。VPN装置のログは最低90日(できれば1年)保管し、SIEMに送付して異常な接続パターン(大量接続、深夜・休日の管理者ログイン、未知のIPからのログイン)をアラートします。
10. インシデント対応プレイブックを作り、年1回演習する
「VPNから侵入された痕跡が見つかった」と検知したら、何をどの順番で行うかを文書化します。具体的には:
- VPN遮断の判断と実施手順
- パスワード一斉リセット(VPN・AD・SaaS)
- ログ保全と外部報告(IPA、警察、所轄、お客様)
- 外部専門家(インシデントレスポンス会社)への連絡先
これを机上演習で年1回回すと、有事の対応速度が桁違いに変わります。
ZTNAへの移行を中期的に検討する
VPNの構造的な弱点(境界型、装置依存、常時公開)を根本的に解決するアプローチが**ZTNA(Zero Trust Network Access)**です。
代表的な選択肢:
- Microsoft Entra Private Access(Microsoft 365企業向け)
- Cloudflare Access
- Zscaler Private Access
- Cisco Secure Access
- Tailscale Enterprise(中小企業向けでコスト優位)
ZTNAなら「ユーザー単位」「アプリケーション単位」でアクセスを制御し、ネットワーク全体への到達を許さないため、仮にIDが漏れても被害局所化が可能です。ただし全アプリ一気に移すのは難しいため、まずは外部公開している管理系アプリ、社内SaaSから段階的に移行するのが現実的です。
まとめ:「VPNがあるから安全」は2026年の常識ではない
VPN装置経由の不正アクセスは、いまや中小企業のランサムウェア被害の主要な侵入口です。技術的には新しい攻撃手法ではなく、パッチ運用・MFA・管理画面の閉鎖・棚卸しという基本動作の徹底だけで多くは防げます。
一方で、SSL-VPNの構造的な弱さ、装置の老朽化、運用負荷を考えると、中期的にはZTNAへの移行が情シスの重要課題になります。
情シス365のSecurity365では、VPN装置の構成診断、MFA導入、SIEM・EDR運用、ZTNA移行計画策定までワンストップで対応しています。「最近VPN周りが不安だけど何から始めれば」という段階のお問い合わせも歓迎です。
関連記事: