マイク・ピーターソン
· 2分で読めます
ProtonVPNユーザーによって公開されたこの脆弱性は、iOSの最新バージョンのすべてのVPNサービスに影響を与えます。
iOS 13.3.1 以降に存在する未修正のバグにより、仮想プライベート ネットワーク (VPN) がすべてのトラフィックを完全に暗号化できず、データと IP アドレスが公開される可能性がある。
VPNは、インターネットトラフィックを安全なトンネルにルーティングすることで機能し、ブラウジングアクティビティのプライバシーと暗号化を維持します。iPhoneやiPadなどのAppleのモバイルデバイスは、長年にわたり、企業が提供するVPNとApp Storeで入手できるサードパーティ製のVPNの両方をサポートしています。
しかし、ProtonVPN が公開しBleeping Computerと共有したセキュリティ上の脆弱性により、iOS および iPadOS 上の VPN が正常に動作しなくなり、データ漏洩につながる可能性がある。
影響を受けるiOSバージョン(最新のiOS 13.4を含む)では、ユーザーがVPNに接続した際に既存のインターネット接続を閉じることができません。通常、VPNを開くと、OSは以前の接続をすべて終了し、VPNトンネルを介して元の接続先サーバーへのリンクを自動的に再確立します。このプロセスは、最近のiOSバージョンでは実行されません。
代わりに、iOS は既存の接続の一部を VPN トンネルの外側で維持しますが、そこではデータは暗号化されません。これらの接続は数分から数時間にわたって開いたままになる可能性があり、ユーザーの位置情報や IP アドレスが漏洩したり、ユーザー自身や通信先のサーバーが攻撃にさらされたりする可能性があります。
通常、これらのリスクは平均的なユーザーにとってはかなり無害ですが、ProtonVPN は、VPN に最も依存しているユーザーが最も深刻な結果にさらされる可能性があると説明しています。
「このセキュリティ上の欠陥によって最も危険にさらされるのは、監視や公民権侵害が蔓延している国の人たちだ」と同社は書いている。
ProtonVPNは、VPN接続時にAppleのサーバーへの接続が切断されないAppleのプッシュ通知を例に挙げています。しかし、ProtonVPNは、このバグはユーザーのデバイスで実行されているあらゆるアプリに影響を与える可能性があると指摘しています。
Apple の iOS に対する厳格なサンドボックス制限により、サードパーティの VPN アプリでは既存の接続を終了できないため、このバグは修正できません。
Bleeping Computerによると、Appleはこの問題を認識しており、現在対策に取り組んでいるとのことです。Appleはユーザーに常時VPNを有効にすることを推奨していますが、サードパーティ製のVPNアプリを使用している場合はこの機能は動作しません。
Appleが修正プログラムを公開するまで、ProtonVPNは、VPN接続後に機内モードを有効または無効にして手動で接続を切断することを推奨しています。ただし、VPNメーカーは、この回避策は100%効果的ではないと警告しています。
VPNバイパスの脆弱性は、Protonコミュニティに所属するセキュリティ研究者によって2019年に初めて発見されました。スイスに拠点を置くセキュリティ企業Protonは、ProtonVPNと並んで、プライバシー重視のメールクライアントProtonMailでよく知られています。
