VPNでもWebRTC経由でIPアドレスが漏洩するとセキュリティ専門家が警告、漏洩の危険があるVPNも公開


安全なネットワーク接続のために利用されるVPNサービスですが、WebRTCのもつ脆弱性によってWebRTCが有効なブラウザで利用すればIPアドレスが検出される危険があるとセキュリティ対策企業のVoidSecが報告しています。VoidSecは調査したVPNサービスの23%に漏洩の危険があると警告しています。

VPN Leak - VoidSec
https://voidsec.com/vpn-leak/

WebRTCは、APIを通じてブラウザやモバイルアプリでのリアルタイムの通信を可能にする規格です。WebRTCはボイスチャット、ビデオチャット、ファイル共有サービスなどで用いられており、Google ChromeやFirefox、OperaなどのブラウザではWebRTCはデフォルトで有効になっています。


VPNを利用する場合にサイトから見えるのはVPNサーバーの割り当てたパブリックIPアドレスで、真のパブリックIPアドレスを見られることありません。このため個人情報を秘匿して身元を隠すためにもVPNは活用されています。

しかし、VoidSecによると、WebRTCが有効なブラウザでは、2つのネットワークノードを直接つなげるWebRTCの特性上、VPN接続をしている場合でもWebRTCを介して真のパブリックIPアドレスを取得することがあるとのこと。このWebRTCからの真のパブリックIPアドレスが漏洩する問題(WebRTC漏れ)への対策を行っていないVPNサービスは、たとえVPN接続している場合でもユーザーを特定される危険性があるというわけです。

VoidSecは、ChromeやFirefoxなどのWebRTCがデフォルトで有効になっているブラウザを使って70ものVPNサービスをテストし、WebRTC漏れ対策の有無を調べました。その結果は、以下のGoogleドキュメントで公開されています。

VPN Web RTC Leak


以下の16のVPNサービスは、WebRTC漏れ対策が行われておらず、情報漏洩の危険があるとのこと。ただし、多くの有料サービスはテストされていないので、下のリストに上がっていないから安全、というわけではないことに注意が必要です。

・BolehVPN (USA Only)
・ChillGlobal (Chrome and Firefox Plugin)
・Glype (Depends on the configuration)
・hide-me.org
・Hola!VPN
・Hola!VPN Chrome Extension
・HTTP PROXY navigation in browser that support Web RTC
・IBVPN Browser Addon
・PHP Proxy
・phx.piratebayproxy.co
・psiphon3 (not leaking if using L2TP/IP)
・PureVPN
・SOCKS Proxy on browsers with Web RTC enabled
・SumRando Web Proxy
・TOR as PROXY on browsers with Web RTC enabled
・Windscribe Addons


VoidSecはWebRTC漏れによってVPN使用時に身元が特定されるのを防ぐために以下の手法が効果的だと述べています。

・WebRTCを無効にする
・JavaScriptを無効にする
・Web APIのCanvas Renderingを無効にする
・すべてのコネクター・アダプターにDNSフォールバックを設定する
・VPN接続の前後にすべてのブラウザインスタンスを消去する
・ブラウザのキャッシュ、履歴、Cookieを消去する
・VPNプロバイダーを除くすべての外部コネクションを切る

なお、VoidSecはVPN接続時にWebRTC漏れリスクがあるかを調べるサイトを公開しています。VPN接続状態で以下のページにアクセスして、パブリックIPアドレスが表示されていれば、漏洩リスクありだそうです。

IP Info
https://ip.voidsec.com/

・関連記事
ユーザーのプライバシーを守るはずのVPNサービス「Hotspot Shield」がアクセスデータを売っていたと糾弾される - GIGAZINE

Operaが無料のVPNをブラウザネイティブで搭載へ、使い方はコレ - GIGAZINE

中国で自由なネットを可能にしていたVPNを当局が「違法」扱いに方針を転換、現地の日本人にも衝撃 - GIGAZINE

無料&登録不要でVPNを使いアクセス規制を突破&セキュリティを保つiOS・Android・Windows・Chrome・Firefoxアプリ「Betternet」 - GIGAZINE

VPN規制で中国から頭脳流出の恐れ、ロシアもVPN禁止へ - GIGAZINE

ネット上であなたのプライバシーを守る簡単な6つの改善案 - GIGAZINE

in ネットサービス,   セキュリティ, Posted by logv_to