複数のVPN製品に影響を与える脆弱性「ポートシャドウ」が見つかる：セキュリティニュースアラート

Citizen Labは複数のVPN製品に影響する新たな脆弱性があると伝えた。脆弱性を悪用されると、匿名性の喪失やDNS要求のリダイレクト、ポートスキャンの実行のリスクがある。

[後藤大地，有限会社オングス]

　Citizen Labは2024年7月16日（現地時間）、同社主催のイベント「Privacy Enhancing Technologies Symposium 2024」で、VPNソフトウェアの接続追跡フレームワークに「ポートシャドウ」と呼ばれる脆弱（ぜいじゃく）性が見つかったと発表した。

複数のVPN製品に影響を与える脆弱性「ポートシャドウ」に注意

　この脆弱性は主要なOSのVPN接続に影響を与え、悪用されると、接続の匿名性が奪われたり、DNS要求がリダイレクトされたり、ポートスキャンが実行されたりする可能性がある。

　ポートシャドウは「Linux」および「FreeBSD」で実行されるVPNソフトウェア「OpenVPN」「WireGuard」「OpenConnect」に影響を与えると報告されている。ただし脆弱性の仕組み上、VPNクライアント側の修正ではなくVPNサーバに関するファイアウォールルールの緩和が提案されている。

　VPNサーバの被害軽減策としては1クライアント当たりの同時接続数を制限することやVPNクライアントがVPNサーバから切断されるたびに接続追跡フレームワークから古いエントリーを削除することなどが推奨されている。LinuxではIPtablesコマンドでの対応が効果的とされ、FreeBSDではVPNクライアントが使用できる送信元ポートを制限することで攻撃を防げるとしている。

　VPNエンドユーザーにはユーザー自身のみがアクセスできるプライベートVPNサーバに接続するか、OpenVPNやWireGuardの代わりに「Shadowsocks」や「Tor」といったVPNソフトウェアを使用することを推奨している。ShadowsocksおよびTorは問題のある接続追跡フレームワークに依存していないため、ポートシャドウの影響を受けないという。