竹洞 陽一郎
Tailscaleとは何か?
最近、エンジニアや情報システム部門でよく耳にするようになった Tailscale。
「新しいVPNらしい」「設定が楽」「もうVPNいらない」など、断片的な評価は聞くものの、実際に何がどう違うのか分からないという方も多いのではないでしょうか。
Tailscaleを一言で表すなら、「インターネットに公開せずに、必要な相手だけを"直接つなぐ"仕組み」です。
従来のVPNとは発想が大きく異なり、攻撃されにくく、運用が圧倒的に軽いという特徴があります。
これは、現在、セキュリティ関係で起きている、防御型セキュリティからステルス型セキュリティへのパラダイムシフトの流れに沿った実装の一つです。
従来のVPNは、なぜ大変だったのか
まずは、これまで多くの企業で使われてきた「一般的なVPN」を思い出してみてください。
- VPN装置を社内やクラウドに設置
- グローバルIPで待ち受け
- ユーザーはそこに「集まって」接続
この方式には、次のような課題がありました。
- VPN装置自体が攻撃対象になる
- 脆弱性対応・パッチ適用が必須
- アクセスが集中すると遅くなる
- 拠点・クラウドが増えるほど設計が複雑化
IPをポートスキャンすれば、VPNの入り口が特定できます。
入り口が分かれば、後は侵入する手段を獲得すれば、入ることが可能です。
そこで行われるのは、以下のような攻撃手法です。
- なりすましメールによるサプライチェーン攻撃
- VPNの脆弱性攻撃
実際、VPN装置への攻撃は後を絶ちません。
2025年1月、Ivanti Connect Secure VPNにゼロデイ脆弱性(CVE-2025-0282)が悪用され、パッチが公開される前から攻撃が行われていたことが、Google Cloud(Mandiant)によって確認されています。[1]
さらに同年4月には別のIvanti VPN脆弱性(CVE-2025-22457)が発見され、Shodan調査で4,000台を超えるシステムがインターネット上に露出していたことも報告されています。[2]
つまり従来のVPNは、「守り続けなければならない城」だったのです。
Tailscaleの発想は「城を作らない」
Tailscaleは、この前提をひっくり返しました。
Tailscaleでは、
- サーバーをインターネットに公開しない
- VPN装置を置かない
- 端末同士が直接・暗号化通信
という設計を採用しています。
各端末はTailscaleを起動すると、
- 自分が誰か(ID)
- どの端末か
- どこまでアクセスできるか
を認証された上で、必要な相手とだけ通信します。
インターネット上に「入口」そのものが存在しません。
技術的には、TailscaleはオープンソースのVPNプロトコル「WireGuard」を基盤として、NAT越えを自動処理するコーディネーションサーバーを組み合わせることで、ポート開放なしでデバイス間のピアツーピア接続を実現しています。[4]
Tailscale公式ドキュメントでも「ファイアウォールの設定変更なしに、NAT内のデバイスがシームレスに接続できる」ことが明記されています。[5]
また、Tailscale自身が比較資料の中で「ほとんどのVPNはファイアウォールの少なくとも一方のポートを開放する必要があるが、TailscaleはそのようなファイアウォールのポートをNATトラバーサルで不要にする」と説明しています。[6]
ステルス型セキュリティとは?
ステルス型セキュリティとは、攻撃目標を消失させて、攻撃そのものが不可能になる状態を作り出す手法です。
軍事におけるステルス化のパラダイムシフト
軍事の世界では長らく、兵器の防御をいかに強固にするかが研究・開発の中心でした。
そしてその防御をいかに突破するか、という攻撃側との攻防の繰り返しが続きました。
この構図を根本から覆したのが、ステルスという考え方です。
1991年の湾岸戦争でF-117ナイトホークが実戦投入され、レーダーに映らない航空機が敵の防空網を無力化する圧倒的な優位性を世界に示しました。
これにより「いかに強力な防空レーダー網を構築するか」という迎撃側の優位性が崩れ、「いかに存在を隠すか」へとゲームのルールが書き換えられました。
ITセキュリティにおけるステルス化
ITのセキュリティ対策は、軍事技術から派生して応用されているものが多く、ステルス化の発想もITセキュリティに大きな影響を与えています。
ITセキュリティのステルス化は、以下のような実装に現れています。
- CDNによるWebサーバの隠蔽化
-
CDNを経由してWebページを公開することで、Webサーバの実体を隠蔽化する。
Cloudflareの公式ドキュメントでも「DNSレコードをプロキシ(オレンジクラウド)設定にすることで、オリジンサーバのIPアドレスを隠蔽し、DDoS防御を提供する」ことが推奨されています。[7]
ただし、この隠蔽はメールサーバや過去のDNSレコードが残っているとIPが漏洩することもあるため、CDN導入後のIP変更など総合的な対策が必要です。[8] - SPFマクロによるMTAの隠蔽化
- PowerDMARCのPowerSPFのようにSPFマクロを使用して、利用しているMTAを隠蔽化する。
- TailscaleによるVPNの隠蔽化
- Tailscaleを使用して、VPNの入り口や存在を隠蔽化する。
軍事もITセキュリティも「索敵」対策が重要
軍事作戦において最も大事なのは、攻撃目標を見つける「索敵」です。
索敵が成功しなければ、攻撃そのものができません。
これはITセキュリティにおいても同様で、攻撃目標となるサーバやVPNゲートウェイの存在が発覚すれば、絶えず攻撃を受け続けることになります。
現在のセキュリティ攻撃は、一連のキャンペーン(作戦)として実行されます。
- 1. 情報収集
-
プロファイリングやOSINTと呼ばれます。
外側から見えるWebやメールの設定状況を把握し、その企業のセキュリティ対策の度合いから企業文化を推測します。
取引先を調べ、インターネット上でその企業のメールアドレスが掲載されていないかを確認します。
ダークウェブで売買されている企業情報を取得し、人事情報なども調べて人間関係を辿れるようにします。
セキュリティ調査会社Bitsightは「2026年の脅威環境は、攻撃者自身がOSINTを武器化している状況が特徴だ」と指摘しています。[9] - 2. サプライチェーン攻撃
-
その企業の取引先や人間関係を辿り、情報収集を更に行います。
その主たる手段は、なりすましメールです。
OSINT研究機関のShadowDragonは「収集した情報を元に、攻撃者はCEOや取引先になりすましたスピアフィッシングメールを作成し、VPNアクセス情報などの機密情報を騙し取ろうとする」と分析しています。[10] - 3. 侵入口の発見
-
サプライチェーンの中でも、特にIT関係の協力企業の情報が狙われやすいです。
ITシステムに接続するためのVPN情報や、GitHubのリポジトリ情報などを持っていることが多いからです。
そして、企業側のセキュリティ対策の管理下にないため、容易に攻撃できます。
MITRE ATT&CKフレームワークでも「認証情報の収集(T1589.001)」として、攻撃者がOSINTを通じてVPN認証情報やGitHub上のリポジトリ情報を収集する手口が体系化されています。[11]
このようなキャンペーンに対抗するために、メール・Web・VPNと、外部から見えているものを隠蔽化することが重要です。
そして、Tailscaleは最後の攻撃目標であるVPNを隠蔽化することが可能なのです。
参考文献
- Google Cloud (Mandiant), Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation, January 2025
- Hackers Arise, VPN Vulnerabilities You Should Know About in 2025, April 2025
- Action1, Top 10 Cybersecurity Vulnerabilities in 2025, 2025
- Tailscale, How Tailscale works
- Tailscale Docs, What is Tailscale?
- Tailscale, VPN Review Guide
- Cloudflare, Cloudflare IP addresses
- Citadelo, Cloudflare, how to do it right and don't reveal your real IP
- Bitsight, OSINT Framework: What It Is, How It Works, 2026
- ShadowDragon, What is OSINT? 2026 Guide
- MITRE ATT&CK, Gather Victim Identity Information: Credentials (T1589.001)