2014年05月28日 08時00分 公開
特集/連載

AndroidのVPNバイパス脆弱性で見直しを迫られるモバイルVPN対策修正パッチの適用は数カ月後!?

Androidの脆弱性を突いて、VPNの通信内容を攻撃者のサーバに平文で送信してしまうエクスプロイトが発見された。IT管理者が取るべき対策とは?

[Tom Brewster,Computer Weekly]

 米CIAおよびNSAの元職員エドワード・スノーデン氏の内部告発によって、英国政府通信本部(GCHQ)およびその諜報活動のパートナーが長い時間と労力をかけて多数のVPN製品を無効化していたことが明らかになった。NSAが使用したXKeyscoreというツールにはVPNに侵入する機能があると伝えられているが、その詳細はほとんど公開されていない。

Computer Weekly日本語版 5月21日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 5月21日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。


 モバイルVPNの脆弱性が注目されるようになったのは、ここ数カ月のことだ。Android端末を使った場合、暗号化されたVPN回線で送信した情報を平文で表示するエクスプロイトの存在が発覚した。このエクスプロイトは、狙った回線の通信内容を全て、攻撃者が指定したサーバで傍受する。

 イスラエルのベングリオン大学サイバーセキュリティラボの研究者が、SMTPの脆弱性を利用するアプリを作成し、上記の現象を再現した。このアプリは、SMTPで送信されたメールをすくい取り、メールが暗号化される前にデータを攻撃者のマシンに転送するというものだった。

 朗報が1つある。米Googleは既に対策用のパッチを端末メーカーに配布している。このパッチは、Android 4.3(Jelly Bean)およびAndroid 4.4(KitKat)に適用できる。イスラエルの研究者たちが調査したのも、この2つのバージョンだ。

 一方、悪い知らせもある。

ITmedia マーケティング新着記事

クラウドファンディングを活用して広告出稿 MOTION GALLERYと電通が「AD MISSON」を提供開始
自己資金は乏しくても共感性が高く社会貢献の見込めるプロジェクトが情報発信できるため...

news017.jpg

「A/Bテスト」ツール 売れ筋TOP10(2021年10月)
今週は、「A/Bテスト」ツールの売れ筋TOP10を紹介します。

news030.jpg

コンテンツSEOでやらかしてしまいがちな3つの勘違い
ITmedia マーケティングで2021年3月に連載して多くの反響をいただいた「勘違いだらけのEC...