コンタクトレンズの株式会社シードは、「不正アクセス」をうけて、漏えいの可能性のある個人情報は、70,700件に及ぶと発表した。
注目点は、VPA接続によるテレワーク環境の脆弱性を突いてイントラネットに侵入された点である。イントラネットに侵入されてしまうと、様々な情報資源へのアクセス権限を変更、情報を盗み出した後、暗号化されてしまい、被害が増加する。実際、二十恐喝といわれる手口が発生し、盗んだ情報を売買したり公開して利益を得て、さらに復号化のために身代金を要求する手口です。

メンテナンス用ネットワーク環境は、VPN接続により外部の委託先に接続し、リモートで様々な保守作業を行えるようにしている構造がよく用いられます。作業者には、保守作業を行えるよう特権アカウントが付与されており、万一、侵入されたうえアカウントを乗っ取られれば、甚大な被害が発生することは必至です。

外部からの侵入経路に着目した不正アクセスは、今後も多く発生することが予測されます。VPNは安全であると単純に考えることは危険です。安全なVPN環境とは、あくまでも脆弱性の排除を継続的に実施している場合に限られます。こうした環境を持つ事業者においては、注意したい事項です。