1. HOME
  2. ブログ
  3. VPNの限界が明確に、92%がランサムウェア攻撃リスクを認識

VPNの限界が明確に、92%がランサムウェア攻撃リスクを認識

ゼットスケーラーがVPNリスクの最新調査結果を発表

ゼットスケーラー株式会社は、「2025年版 Zscaler ThreatLabz VPNリスク レポート」を発表した。本レポートはCybersecurity Insidersとの共同調査により、企業が抱えるVPN利用における脆弱性と、それに伴うセキュリティ課題を明らかにしたものである。

調査対象は600人以上のIT・セキュリティ専門家であり、その56%が「セキュリティとコンプライアンスの維持」をVPN利用の最重要課題として認識している。92%がVPNの脆弱性によるランサムウェア攻撃を懸念し、93%がVPN接続を悪用したバックドアのリスクを憂慮している。

「VPN利用における主要な懸念(%)」

  • ランサムウェア攻撃:92%
  • バックドアの懸念:93%
  • ゼロトラスト導入予定:81%

ゼロトラストへの移行が加速

こうしたリスク認識の高まりを背景に、65%の組織がVPNからの移行を予定しており、81%は今後1年以内にゼロトラストアーキテクチャーを導入する計画を立てている。ゼットスケーラーでは、VPNが設計上「信頼されたアクセス」を前提にしている点が、現代の高度なサイバー攻撃に対して重大なリスク要因となっていると指摘する。

VPNは、仮想環境でも物理環境でも、リモートユーザーと同様に攻撃者にもネットワークアクセスを許容してしまう構造となっており、過剰な権限やパッチ未適用の脆弱性がリスクを拡大している。

AIを利用した脆弱性スキャンの高度化

近年、GPTベースの生成AIを利用してVPN製品の脆弱性(CVE)を瞬時に抽出する攻撃手法が登場しており、偵察活動は数分で完了可能になっている。実際、外国のサイバー諜報組織によるVPN脆弱性の悪用が複数確認されており、セキュリティモデルの転換が求められている。

ゼットスケーラーのCSOであるディーペン・デサイ氏は、「AIによる偵察の自動化と迅速な攻撃開発に対抗するには、全方位にゼロトラストを適用する必要がある」と述べている。

CVEは5年間で82.5%増加、深刻な脆弱性が多数

ThreatLabzの分析によれば、VPN関連のCVE(共通脆弱性識別子)は2020年から2024年までに82.5%増加しており、そのうち約60%が「重要(High)」または「緊急(Critical)」に分類されている。とりわけリモートコード実行(RCE)の脆弱性は深刻で、攻撃者による悪用リスクが高い。

VPNの脆弱性は、単なる仕様上の問題にとどまらず、実際の侵害事例へと直結している。

バックドア侵入と実被害の事例

VPNは認証後に広範なアクセスを許可するため、委託業者や外部パートナーを含む広い範囲で攻撃対象となる。調査では、93%がこうした外部接続を通じた侵入リスクを警戒している。

2024年2月には、ある金融サービス企業でVPN脆弱性を突いた攻撃により、約2万件の顧客情報が流出する事件が発生している。この事例は、VPNが攻撃の「踏み台」となり得る現実を端的に示している。

VPNの「クラウド化」では不十分

一部のVPNベンダーはクラウド上での仮想VPNを「ゼロトラストソリューション」として展開しているが、ゼットスケーラーはこれを否定する。設計思想が変わらない限り、根本的なリスクは残り続けるという。

実際、セキュリティベンダーが保有する数万件のパブリックVPN IPに対するスキャン活動が急増しており、これは攻撃者が未知の脆弱性を狙っている兆候である。クラウドベースであっても、VPNの設計に起因するリスクからは逃れられない。

ゼロトラスト導入の5つの効果

ゼロトラストアーキテクチャーは、ネットワーク単位の信頼ではなく、ユーザーやアプリケーション、ワークロード単位で制御する構造であり、VPNに代わる有効なアプローチである。レポートでは、以下のようなメリットが強調されている。

  1. 攻撃対象領域の最小化:アイデンティティベースの制御へ移行
  2. 初期侵入の防止:強力な認証と最小特権アクセス
  3. 水平方向の拡散阻止:ネットワーク内での封じ込め
  4. データ保護の強化:状況に応じたセキュリティポリシー
  5. 運用の簡素化:AIと自動化による継続的な監視と保護

これらを実装することで、VPNに依存しない堅牢なセキュリティフレームワークが実現される。

VPNからの脱却は企業の必然

本レポートは、レガシー技術であるVPNがもたらすリスクを改めて示すとともに、ゼロトラスト導入への移行が不可避であることを訴えている。多くの企業がすでに計画を進めており、今後のサイバー攻撃に備えた構造的な対応が求められている。

出典:PRTimes 2025年版 Zscaler ThreatLabz VPNリスク レポートを発表、半数以上の組織がセキュリティとコンプライアンスのリスクをVPNの最重要課題と認識

関連記事

人気コーナー「サイバーセキュリティー四方山話」が電子書籍で登場!!