あらゆるVPNを無効にする恐るべきエクスプロイト–20年以上前から存在か

今回は「あらゆるVPNを無効にする恐るべきエクスプロイト–20年以上前から存在か」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 セキュリティ研究者が、あらゆる仮想プライベートネットワーク(VPN)を無効にできる手法を明らかにした。しかも、このエクスプロイトは20年ほど前から野放しの状態で、悪意ある攻撃者からすでにその存在を知られている可能性があるという。

 Leviathan Security Groupの研究者らは、VPNが使われたトラフィックを可視化する手法を発見した。攻撃者がこの手法を利用すれば、暗号化されていないトラフィックを盗聴し、価値あるデータをそのトラフィックから取り出すことが事実上可能になる。研究者はこのエクスプロイトを「TunnelVision」と名付けた上で、今のところこのトリックに引っかからないVPNは見つかっていないと指摘した。

 VPNは、トラフィックとデータの安全に重要な役割を担っている。VPNを使用すればインターネットトラフィックが暗号化されるため、ハッカーによるトラフィックの盗聴を回避できる。だが、TunnelVisionはその状況を変えてしまう。研究者によれば、ネットワークの攻撃に成功したハッカーは、そのネットワーク上のデバイスにIPアドレスを割り当てるDHCPサーバーを運用し、トラフィックがそのサーバーを経由するようにできるという。これにより、ハッカーはVPN暗号化を回避し、まったく暗号化されていないトラフィックのパケットを可視化できるようになる。さらに問題なのは、暗号化されていない接続を介してトラフィックが送信されていることに、ユーザーが一切気づかないことだ。また、この変更に関してVPN自体からアラートが送信されることも決してない。

 もちろん、ハッカーがこのエクスプロイトを利用できるようになるまでには、いくつかのハードルがある。中でも難しいのは、ネットワークに実際にアクセスすることだ。だが、ハッカーはたいてい、誰にも警戒されることなくネットワーク内に身を潜め、データを盗み出す機会をうかがうことができる。TunnelVisionは、そうした機会をもたらすエクスプロイトの1つに過ぎない。

 しかも、さらに悪い話がある。セキュリティ研究者らによれば、悪意ある攻撃者は遅くとも2002年から、VPN機能に存在するこの脆弱性を利用する能力を得ていたと考えられるという。つまり、ハッカーは20年以上前からこのエクスプロイトについて知っていた可能性があるわけだ。研究者は、ハッカーがこのエクスプロイトを利用した形跡を確認するまでには至っていないものの、この発見についてVPNメーカーに通知したという。

 とはいえ、この問題を修正する方法は明らかになっていない。VPN内でDHCPのサポートを無効にすればこの問題はすぐに解決されるが、そのVPNの利用とは関係ない部分でインターネット接続の問題が立て続けに起こることになる。また、研究者は「Linux」ベースのOSでのみ問題を修正できる方法を1つ見つけ出したが、この修正を施せば「サイドチャネル」が作られ、やはり匿名化されていないトラフィックが許可されるようになる。

 「世界の一部の地域では、サイドチャネルが作られるだけでも、身の安全を守るためにVPNを必要としている人々が投獄されたり殺害されたりする恐れがある。例えば、監視やスパイウェアの標的になりやすいジャーナリストや内部告発者などだ」と、研究者は述べている。

 唯一の確実な修正方法は、すでに侵害されているネットワーク上でVPNを運用させないことだ。だが、ハッカーが潜んでいるかどうか確かめるのは困難なことを考えれば、難しい話だろう。現時点では、VPNに注意し、プライベートなトラフィックが自分の考えているほどプライベートではない可能性があることを忘れないようにするしかない。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
アクセンチュア、ヴイエムウェアとの事業グループ立ち上げ–組織のクラウド移行加速へ
IT関連
2021-02-15 19:56
「Windows 8.1」のサポート終了、マイクロソフトが通知を開始へ–2023年1月に向け
IT関連
2022-06-25 20:51
富士通ら、HPCとAIを活用した量子化学シミュレーション高速化技術を開発
IT関連
2023-02-23 12:11
「Raspberry Pi 5」を使ってみた–気になるパフォーマンスや発熱をチェック
IT関連
2023-12-03 02:05
2025年に注目すべき11のIT戦略テーマ、調査会社ITRが発表「ITR注目トレンド2025」
業界動向
2025-01-07 23:46
Ubuntu 21.04正式リリース。Active Directoryとネイティブ統合、最適化されたSQL Server対応、Flutter用SDK搭載、Waylandがデフォルトに、など
Linux
2021-04-26 07:41
単一のSwiftコードからiOSアプリとAndroidアプリが作れる「Skip 1.0」正式リリース。SwiftをKotlinへトランスパイル
Android
2024-08-22 06:04
那須町、児童生徒のiPad管理に「Jamf Pro」採用–授業でのアプリ活用を迅速化
IT関連
2022-05-29 10:05
三井化学、DX人材育成計画を策定–社員から165人に
IT関連
2022-03-25 12:37
米ガートナー「ソフトウェアエンジニアリングのハイプサイクル2023年」を発表。「生成AI」や「プラットフォームエンジニアリング」は過度な期待のピーク
開発ツール
2023-12-07 08:14
【レビュー】iPhone SE(第3世代)「Touch IDよ永遠に、Face IDよ無縁に」
IT関連
2022-03-11 05:23
ブロックチェーンやIoT、AI活用でワクチンのサプライチェーン強化へ–IT企業の取り組み
IT関連
2021-01-28 21:28
NTTデータとNTT、ITサービスの競争力強化で海外事業を統合へ
IT関連
2022-05-11 05:24
Facebookがオーストラリア政府と合意、ニュースコンテンツ共有の再開を発表
ネットサービス
2021-02-25 09:30