2014年05月28日 08時00分 公開
特集/連載

修正パッチの適用は数カ月後!?AndroidのVPNバイパス脆弱性で見直しを迫られるモバイルVPN対策

Androidの脆弱性を突いて、VPNの通信内容を攻撃者のサーバに平文で送信してしまうエクスプロイトが発見された。IT管理者が取るべき対策とは?

[Tom Brewster,Computer Weekly]

 米CIAおよびNSAの元職員エドワード・スノーデン氏の内部告発によって、英国政府通信本部(GCHQ)およびその諜報活動のパートナーが長い時間と労力をかけて多数のVPN製品を無効化していたことが明らかになった。NSAが使用したXKeyscoreというツールにはVPNに侵入する機能があると伝えられているが、その詳細はほとんど公開されていない。

Computer Weekly日本語版 5月21日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 5月21日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。


 モバイルVPNの脆弱性が注目されるようになったのは、ここ数カ月のことだ。Android端末を使った場合、暗号化されたVPN回線で送信した情報を平文で表示するエクスプロイトの存在が発覚した。このエクスプロイトは、狙った回線の通信内容を全て、攻撃者が指定したサーバで傍受する。

 イスラエルのベングリオン大学サイバーセキュリティラボの研究者が、SMTPの脆弱性を利用するアプリを作成し、上記の現象を再現した。このアプリは、SMTPで送信されたメールをすくい取り、メールが暗号化される前にデータを攻撃者のマシンに転送するというものだった。

 朗報が1つある。米Googleは既に対策用のパッチを端末メーカーに配布している。このパッチは、Android 4.3(Jelly Bean)およびAndroid 4.4(KitKat)に適用できる。イスラエルの研究者たちが調査したのも、この2つのバージョンだ。

 一方、悪い知らせもある。

ITmedia マーケティング新着記事

news143.jpg

Accenture調査から見えた2020年の5つのテクノロジートレンド
「テック・クラッシュ」を乗り切るにはどうすればいいのか。AccentureのCEOおよびCTOの記...

news134.jpg

電話サポートの保留音、世界の主流はクラシック――Genesys調査
13カ国で実施した電話サポートの保留音に関する調査結果です。

news125.jpg

エコ活動・SDGsへの意識 「フードロス」「廃プラスチック」に高い関心――CCC調査
エコ・環境問題への関心や関連トピックスへの認知度などを調査しています。