ウィリアム・ギャラガー
· 1分で読めます
大手仮想プライベートネットワーク企業 6 社が、ユーザーのコンピュータを監視対象にできるルート証明書をインストールしていることが判明しました。
AppleのiCloudプライベートリレーと同様に、VPNは個人情報を暗号化する信頼できるサービスを経由してすべてのデータをルーティングすることでユーザーを保護することを目的としています。しかし、最も有名なVPN企業6社が、セキュリティ侵害の恐れのある方法でこれを実行していることが明らかになりました。
TechRadarによると、これら6つの脆弱性はセキュリティ調査会社AppEsteemによって発見された。これらの脆弱性はいずれも、ユーザーのデバイスに信頼できるルート証明機関(CA)をインストールするが、これが危険な可能性がある。
「信頼できるルート証明書をインストールするのは良い習慣ではありません」と、TechRadarのセキュリティ専門家マイク・ウィリアムズ氏は述べた。「もしそれが侵害されれば、攻撃者がさらに証明書を偽造し、他のドメインになりすまし、通信を傍受する可能性があるのです。」
つまり、ユーザーが暗号化されたサービスを使用している場合でも、VPN プロバイダーや悪意のある人物がその暗号化を上書きし、すべてのデータを傍受できるということです。
これを行っていると報告されている 6 つの VPN ベンダーは次のとおりです。
- サーフシャーク
- アトラスVPN
- ヴィプVPN
- VPNプロキシマスター
- サムランドVPN
- ターボVPN
Surfshark と Atlas VPN は現在 NordVPN と合併していますが、証明書をインストールする企業として Nord Security はリストされていません (最高の VPN 取引を確認してください)。
Surfshark の広報担当者はTechRadarに対し、この問題は解決されたと主張したが、直接的には Windows に言及しているだけだった。
「(AppEsteemと)緊密に協力し、指摘された問題を迅速に修正しました」と広報担当者は述べた。「問題はすべて既に修正されており、Windowsユーザーの皆様はまもなくアプリのアップデート版を受け取ることができるはずです。」
Macについては言及されていないが、広報担当者はAppleユーザーを助ける他の取り組みについても説明した。
「また、私たちはもはや普及していないIKEv2プロトコルを廃止し、WireguardとOpenVPNプロトコルのサポートに全力を注いでいます」と広報担当者は続けた。「これにより、証明書をインストールする必要がなくなります。」
