2015年10月09日 08時00分 UPDATE
特集/連載

VPNも安全ではない掲示板への書き込みもバレバレ!? VPNサービスに通信内容漏えいの脆弱性

調査の結果、VPNサービスを提供しているプロバイダーの多くに、情報漏えいの脆弱性が存在していた。その意外な原因とは?

[Warwick Ashford,Computer Weekly]
Computer Weekly

 何十万もの人々が、自身のオンラインIDを保護するために仮想プライベートネットワーク(VPN)サービスを利用している。だが、研究の結果、大半のVPNサービスに情報漏えいの脆弱(ぜいじゃく)性が存在することが明らかになった。

Computer Weekly日本語版 10月7日号無料ダウンロード

17788.gif

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 10月7日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 ヨーロッパでは、インターネットユーザーの約20%がVPNを利用して暗号化通信を行い、検閲逃れ、監視社会からの逃避、英BBCの「BBC iPlayer」のような地理的制限のあるサービスへのアクセスに使っている。

 しかし、英ロンドン大学クイーン・メアリー(QMUL:Queen Mary University of London)の研究者によれば、利用者が多い14のVPNプロバイダーを調査したところ、IPv6 leakage(IPv6漏えい)として知られる脆弱性が原因で、11のプロバイダーでユーザーに関する情報が漏えいしていたことが明らかになった。

 漏えいした情報は、ユーザーがアクセスしているWebサイトに関する情報から、フォーラムに投稿したコメントのような実際の通信内容までさまざまだ。ただし、暗号化(HTTPS)を行っているWebサイトとのやりとり(金融取引など)は漏えいしていなかった。

 インターネット事業者は、IPv4に代わる新しいインターネットプロトコルとしてIPv6の導入を進めているが、現状では多くのVPNがIPv4トラフィックしか保護していない。これが漏えいの原因となっている。

 研究は、攻撃者が使用する手口を再現したWi-Fiアクセスポイントを用意し、そのアクセスポイントにさまざまな端末を接続して行われた。

 研究者は、ユーザーデータを入手するために2種類の攻撃を試みた。1つは、アクセスポイントを通過する非暗号化情報を単純に収集する「受動的監視(passive monitoring)」手法。もう1つは、米Googleや米Facebookなど、アクセス数の多いWebサイトに見せかけて、攻撃者支配下のWebサーバにブラウザをリダイレクトする「DNSハイジャック」手法だ。

 この研究では、さまざまなモバイルプラットフォームでVPNを使用したときのセキュリティ調査も行われた。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

日本アドバタイザーズ協会、広告業務全般における働き方改善を目指す取り組みを行うと発表
日本アドバタイザーズ協会は、広告業務に携わる人の働き方改善を目指す取り組みを行うと...

news064.jpg

ネット広告代理市場、2016年以降年平均16.4%の大幅な伸び──ミック経済研究所調査
ミック経済研究所の調査によるとネット広告代理市場の総市場規模は2016年度以降、年平均1...

news070.jpg

朝日広告社、クラウドソーシングを活用した動画サービスを提供開始
朝日広告社は、クラウドソーシングを活用した動画サービス「ASAKO VIDEO CROWD」の提供を...