米ゼットスケーラーは、VPNの脆弱性と今後の対策をまとめた「ThreatLabz VPNリスクレポート」の2025年版を発表した。
ITおよびセキュリティの専門家632名を対象にした本調査によれば、VPN利用企業の56%が「セキュリティとコンプライアンスの維持」を最大の課題に挙げており、92%が未修正のVPN脆弱性によるランサムウェア攻撃を懸念している。こうした状況を背景に、81%の組織が今後1年以内にゼロトラストアーキテクチャの導入を計画しているという。
VPNはかつてリモートアクセスの基盤として重宝されていたが、今日ではその構造的な脆弱性が、攻撃者にとって侵入の足がかりとなっている。ゼットスケーラー CSOのディーペン・デサイ氏は、AIによる偵察の自動化や脆弱性の特定が加速していることを指摘し、「インターネットに接続されたVPN資産を排除するゼロトラスト型のアプローチを導入する必要がある」コメントしている。
同レポートでは、VPNに関連する脆弱性の報告件数が2020年から2024年にかけて82.5%増加していることも明らかにしている。なかでも、リモートコード実行(RCE)型の深刻な脆弱性が多数確認されており、設定ミスやパッチ未適用によって攻撃者が広範なアクセス権を得る事例が後を絶たない。2024年2月には、ある金融企業がVPNの欠陥を突かれ、顧客2万人分の個人情報が漏洩する事件も発生している。
ゼットスケーラーは、クラウド上に展開されたVPNを「ゼロトラストソリューション」として提供する動きが一部ベンダーに見られるものの、設計思想が従来型の枠組みにとどまっている限り、それは真のゼロトラストとは言えないと指摘する。VPNに起因するセキュリティリスクを排除するには、アイデンティティーを基軸に据え、利用状況に応じて柔軟にポリシーを適用できるゼロトラスト型のセキュリティモデルへの移行が不可欠だとしている。
レポートの全文はゼットスケーラーの公式サイトで公開されている(リンク)。