SSL VPNの9割がセキュリティ対策が不十分な状況

また、使われているSSLのバージョンに関係なくSSL VPNサーバの76%が検証できないSSL証明書を使用しており、中間者攻撃に利用されるおそれがあることも指摘されている(証明書の期限が切れているにもかかわらず更新されていないことが主な原因だとされている)。

さらに証明書の74%がSHA-1シグネチャでサインされているほか、5%に関してはMD5ハッシュでサインされているとも指摘されている。どちらもすでに安全とは言えないとして利用の停止が呼びかけられている方式だ。さらに悪いことに、SSL VPNの1割ほどはOpenSSLの脆弱性「Heartbleed」を抱えたままだと指摘されており、深刻な状況にあることが指摘されている。

調査したSSL VPNのうち、PCI DSSの要求に準拠していたものは3%、NISTガイドラインに沿っていたものは1つも存在しなかったとしている。SSL VPNは簡単に使い始めることができるため人気があるが、運用状況がセキュリティ面で好ましい状態とは言えないことが示されたことになる。SSL VPNのサービスを利用している場合はセキュリティの状況をチェックするとともに、必要に応じてよりセキュリティレベルの高いサービスへの移行を検討することが望まれる。