SSL VPNの9割がセキュリティ対策が不十分な状況

Softpediaに2月26日(米国時間)に掲載された記事「90 Percent of All SSL VPNs Use Insecure or Outdated Encryption」が、SSL VPNの9割ほどが古い暗号化技術や安全ではない暗号化技術を使っているために適切なセキュリティレベルを提供していないと伝えた。セキュリティファーム「High-Tech Bridge」の調査結果を引用する形で紹介されている。

SSL VPNは従来のIPsecベースのVPNと異なり、Webブラウザからサーバに接続して利用するタイプのVPN。WebブラウザはSSL VPNサーバのインストールされたホストにアクセスし、ブラウザを経由してVPNの機能を利用することになる。この方式はクライアント側に専用のソフトウェアをインストールする必要がなく簡単に利用できるという特徴がある。通信経路やSSLやTLSを使って暗号化されることになる。

High-Tech Bridgeの調査によれば、ランダムに選択した10,436のSSL VPNサーバを調べたところ、それらのうち77%がすでに利用の停止が推奨されているSSLv2またはSSLv3が使われていたと指摘。