あらゆるVPNを無効にする恐るべきエクスプロイト–20年以上前から存在か

今回は「あらゆるVPNを無効にする恐るべきエクスプロイト–20年以上前から存在か」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 セキュリティ研究者が、あらゆる仮想プライベートネットワーク(VPN)を無効にできる手法を明らかにした。しかも、このエクスプロイトは20年ほど前から野放しの状態で、悪意ある攻撃者からすでにその存在を知られている可能性があるという。

 Leviathan Security Groupの研究者らは、VPNが使われたトラフィックを可視化する手法を発見した。攻撃者がこの手法を利用すれば、暗号化されていないトラフィックを盗聴し、価値あるデータをそのトラフィックから取り出すことが事実上可能になる。研究者はこのエクスプロイトを「TunnelVision」と名付けた上で、今のところこのトリックに引っかからないVPNは見つかっていないと指摘した。

 VPNは、トラフィックとデータの安全に重要な役割を担っている。VPNを使用すればインターネットトラフィックが暗号化されるため、ハッカーによるトラフィックの盗聴を回避できる。だが、TunnelVisionはその状況を変えてしまう。研究者によれば、ネットワークの攻撃に成功したハッカーは、そのネットワーク上のデバイスにIPアドレスを割り当てるDHCPサーバーを運用し、トラフィックがそのサーバーを経由するようにできるという。これにより、ハッカーはVPN暗号化を回避し、まったく暗号化されていないトラフィックのパケットを可視化できるようになる。さらに問題なのは、暗号化されていない接続を介してトラフィックが送信されていることに、ユーザーが一切気づかないことだ。また、この変更に関してVPN自体からアラートが送信されることも決してない。

 もちろん、ハッカーがこのエクスプロイトを利用できるようになるまでには、いくつかのハードルがある。中でも難しいのは、ネットワークに実際にアクセスすることだ。だが、ハッカーはたいてい、誰にも警戒されることなくネットワーク内に身を潜め、データを盗み出す機会をうかがうことができる。TunnelVisionは、そうした機会をもたらすエクスプロイトの1つに過ぎない。

 しかも、さらに悪い話がある。セキュリティ研究者らによれば、悪意ある攻撃者は遅くとも2002年から、VPN機能に存在するこの脆弱性を利用する能力を得ていたと考えられるという。つまり、ハッカーは20年以上前からこのエクスプロイトについて知っていた可能性があるわけだ。研究者は、ハッカーがこのエクスプロイトを利用した形跡を確認するまでには至っていないものの、この発見についてVPNメーカーに通知したという。

 とはいえ、この問題を修正する方法は明らかになっていない。VPN内でDHCPのサポートを無効にすればこの問題はすぐに解決されるが、そのVPNの利用とは関係ない部分でインターネット接続の問題が立て続けに起こることになる。また、研究者は「Linux」ベースのOSでのみ問題を修正できる方法を1つ見つけ出したが、この修正を施せば「サイドチャネル」が作られ、やはり匿名化されていないトラフィックが許可されるようになる。

 「世界の一部の地域では、サイドチャネルが作られるだけでも、身の安全を守るためにVPNを必要としている人々が投獄されたり殺害されたりする恐れがある。例えば、監視やスパイウェアの標的になりやすいジャーナリストや内部告発者などだ」と、研究者は述べている。

 唯一の確実な修正方法は、すでに侵害されているネットワーク上でVPNを運用させないことだ。だが、ハッカーが潜んでいるかどうか確かめるのは困難なことを考えれば、難しい話だろう。現時点では、VPNに注意し、プライベートなトラフィックが自分の考えているほどプライベートではない可能性があることを忘れないようにするしかない。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
全ての企業は「テクノロジーカンパニー」に–HPEネリCEO
IT関連
2021-06-24 12:07
ヴイエムウェア、CEOにCOOのラグー・ラグラム氏指名–ゲルシンガー氏後任
IT関連
2021-05-13 20:38
米議会議事堂襲撃者、盗んだペロシ議長のノートPCをロシア対外情報庁に売ろうとしていた──FBI供述書
社会とIT
2021-01-20 13:16
「BASIC」誕生60周年–コンピューター利用を容易にしたシンプルな言語の歴史
IT関連
2024-05-16 23:40
アステラス製薬、経営の高度化に向けて基幹システム刷新–アクセンチュアが支援
IT関連
2022-02-27 13:16
リモートワーク下のコミュニケーションにどう取り組む?–朝日インタラクティブの社内事例
IT関連
2021-07-22 16:20
Metaの研究者が画像・音声・文字を同じように学習するAIを開発
IT関連
2022-01-23 01:11
マネックス証券でシステム不具合 「口座残高0円」など表示に異常
企業・業界動向
2021-04-17 13:16
さくらインターネット、さくらのクラウドで「Red Hat Enterprise Linux Server」提供開始、月額約1万4000円。サポート窓口も対応
Linux
2024-04-19 11:52
日本企業の人的資本経営を支援–ワークデイ・正井社長
IT関連
2023-01-11 00:36
AOKIホールディングスの少額短期保険会社、日立システムズの保険業務システムを導入
IT関連
2021-02-04 02:54
「サクナヒメ」にお米を奉納 新潟の専門学校がゲーム活用の農業教育
社会とIT
2021-04-28 04:05
群馬県・邑楽町がデジタル通貨 子供1人に3000円の食事券
IT関連
2021-07-02 04:45
次世代地球観測プラットフォーム「AxelGlobe」構築目指すアクセルスペースが約25.8億円のシリーズC調達
宇宙
2021-05-15 05:29