2020年11月27日、警察庁の端末に不正アクセスがあったと発表された。原因はVPN装置の脆弱性(CVE-2018-13379)とされる。関連して、同じ脆弱性で攻撃可能なVPN装置約5万件ものリストも確認された。VPNはテレワークの普及とともに再注目されたが、こうした脆弱性の課題もあり、「ゼロトラストネットワーク」への移行を唱えるベンダーも増えている。VPNは危険で、ゼロトラストネットワークなら安全なのか? しかし、議論の本質は違うところにある。 1年以上前の脆弱性が狙われる現実 警察庁内の端末1台が、外部から不正アクセスを受けていたことが判明した。被害にあったのは、発注などに使っている業務用のPCだ。警視庁から不正アクセスされているのではないと指摘され、調査を行ったところ当該PCに複数のIPアドレスからの不正アクセスが確認された。確認された期間は2019年8月からとされ、2020年11月