2014年05月28日 08時00分 公開
特集/連載

修正パッチの適用は数カ月後!?AndroidのVPNバイパス脆弱性で見直しを迫られるモバイルVPN対策

Androidの脆弱性を突いて、VPNの通信内容を攻撃者のサーバに平文で送信してしまうエクスプロイトが発見された。IT管理者が取るべき対策とは?

[Tom Brewster,Computer Weekly]

 米CIAおよびNSAの元職員エドワード・スノーデン氏の内部告発によって、英国政府通信本部(GCHQ)およびその諜報活動のパートナーが長い時間と労力をかけて多数のVPN製品を無効化していたことが明らかになった。NSAが使用したXKeyscoreというツールにはVPNに侵入する機能があると伝えられているが、その詳細はほとんど公開されていない。

Computer Weekly日本語版 5月21日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 5月21日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。


 モバイルVPNの脆弱性が注目されるようになったのは、ここ数カ月のことだ。Android端末を使った場合、暗号化されたVPN回線で送信した情報を平文で表示するエクスプロイトの存在が発覚した。このエクスプロイトは、狙った回線の通信内容を全て、攻撃者が指定したサーバで傍受する。

 イスラエルのベングリオン大学サイバーセキュリティラボの研究者が、SMTPの脆弱性を利用するアプリを作成し、上記の現象を再現した。このアプリは、SMTPで送信されたメールをすくい取り、メールが暗号化される前にデータを攻撃者のマシンに転送するというものだった。

 朗報が1つある。米Googleは既に対策用のパッチを端末メーカーに配布している。このパッチは、Android 4.3(Jelly Bean)およびAndroid 4.4(KitKat)に適用できる。イスラエルの研究者たちが調査したのも、この2つのバージョンだ。

 一方、悪い知らせもある。

ITmedia マーケティング新着記事

news063.jpg

過度なオンラインショッピングは「依存症」、感情に基づく広告etc. Gartnerの戦略的展望
Gartnerが発表した重要な戦略的展望トップ10からマーケティングやCX(顧客体験)に関わる...

news047.jpg

ハロウィーンの参加率が2年連続の低下――LINE調査
LINEリサーチによる「ハロウィーンに関する定点調査」の2019年版の結果が出ました。