Androidの脆弱性を突いて、VPNの通信内容を攻撃者のサーバに平文で送信してしまうエクスプロイトが発見された。IT管理者が取るべき対策とは?
米CIAおよびNSAの元職員エドワード・スノーデン氏の内部告発によって、英国政府通信本部(GCHQ)およびその諜報活動のパートナーが長い時間と労力をかけて多数のVPN製品を無効化していたことが明らかになった。NSAが使用したXKeyscoreというツールにはVPNに侵入する機能があると伝えられているが、その詳細はほとんど公開されていない。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 5月21日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
モバイルVPNの脆弱性が注目されるようになったのは、ここ数カ月のことだ。Android端末を使った場合、暗号化されたVPN回線で送信した情報を平文で表示するエクスプロイトの存在が発覚した。このエクスプロイトは、狙った回線の通信内容を全て、攻撃者が指定したサーバで傍受する。
イスラエルのベングリオン大学サイバーセキュリティラボの研究者が、SMTPの脆弱性を利用するアプリを作成し、上記の現象を再現した。このアプリは、SMTPで送信されたメールをすくい取り、メールが暗号化される前にデータを攻撃者のマシンに転送するというものだった。
朗報が1つある。米Googleは既に対策用のパッチを端末メーカーに配布している。このパッチは、Android 4.3(Jelly Bean)およびAndroid 4.4(KitKat)に適用できる。イスラエルの研究者たちが調査したのも、この2つのバージョンだ。
一方、悪い知らせもある。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 5月7日号:PC産業にイノベーションは残っているか?
Computer Weekly日本語版 4月16日号:クラウドの活用を阻むIT部門
Computer Weekly日本語版 4月2日号:中古ソフトウェア販売は著作権侵害か?
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
ITmediaはアイティメディア株式会社の登録商標です。
