巨大なセキュリティホールがVPNユーザーの実際のIPアドレスを暴露

研究者がVPNにおける大きな穴を発見し、実際のIPアドレスを簡単に暴露

世界中のVPNユーザーは、新たに発見された欠陥が当局、検閲機関、ハッカー、サイバー犯罪者によって悪用されると、実際のIPアドレスを公に開示するリスクがあります。VPNプロバイダーのPerfect Privacyの研究者は、VPNユーザーの実際のIPアドレスを比較的容易に暴露する以前は知られていなかった重大な欠陥を発見しました。

Perfect Privacyによると、この欠陥はOpenVPNやIPSecなど、すべてのVPNプロトコルおよびオペレーティングシステムに影響を与えます。

インターネットを閲覧する際の匿名性を求めるユーザーや検閲法のために、世界中でVPNの使用が増加しています。VPNプロバイダーは、人気のファイルをダウンロードする際にデフォルトでIPアドレスを数百人に放送するBitTorrentユーザーの間で特に人気があります。

Perfect Privacyが発見した重大な欠陥は、単純なポートフォワーディングのトリックを利用しています。攻撃者が被害者と同じVPNを使用している場合、特定のポートでトラフィックを転送することで真のIPアドレスが暴露される可能性があります。

「影響を受けるのは、ポートフォワーディングを提供し、この特定の攻撃に対する保護がないVPNプロバイダーです」とPerfect Privacyは指摘しています。

彼らは、デフォルトのBitTorrentポートのポートフォワーディングを有効にできる潜在的なハッカーの例を示しました。ハッカーがこれを行うと、同じネットワーク上のすべてのVPNユーザーが実際のIPアドレスを暴露します。潜在的なハッカーは、通常のインターネットを使用しているVPNユーザーに対しても同じトリックを使用できます。この場合、ハッカーはVPNユーザーを転送されたポートに接続するページに誘導する必要があり、その結果、実際のIPアドレスが暴露されることになりますとPerfect Privacyは述べています。

Perfect Privacyは、先週すでにすべてのVPNサービスプロバイダーに通知したと述べています。これには、Private Internet Access（PIA）、Ovpn.to、nVPNが含まれます。多くのVPNサービスプロバイダーは、Perfect Privacyがその発見を公表する前に問題を修正しました。

PIAはTorrentFreakに対し、彼らの修正は比較的簡単で、通知を受けた後すぐに実施されたと伝えています。

「クライアントの実際のIPアドレスから転送されたポートへのアクセスをブロックするために、VPNサーバーレベルでファイアウォールルールを実装しました。この修正は、初回の報告から12時間以内にすべてのサーバーに展開されました」とPIAのアミール・マリクは言います。

しかし、多くのVPNサービスプロバイダーはまだこの欠陥に対して脆弱であり、これらのサービスのユーザーは実際のIPが公にされるリスクがあります。この欠陥から自分自身を守るために、彼らはすぐにVPNサービスプロバイダーに追加のファイアウォールルールをサーバーレベルで実装するように修正を依頼するべきです。