パスワードを忘れた? アカウント作成
12246575 story
インターネット

欧州のVPNサービスプロバイダ、DNSハイジャック攻撃に対して脆弱だと判明 18

ストーリー by hylom
安心ではなかった? 部門より
taraiok 曰く、

欧州のインターネットユーザーの約2割が仮想プライベートネットワーク(VPN)を利用しているそうなのだが、こうしたVPNサービスのほとんどがIPv6 DNSハイジャック攻撃によりトラフィック漏洩を起こすことが分かったという(Queen MaryThe RegisterSlashdot)。

ロンドンとローマの大学からなる研究チームの調査によると、ポピュラーな14社のVPNサービスのうち11社で、ネット掲示板に投稿した内容が漏れるといったような情報漏洩が発生する可能性があるという。ただし、HTTPSを使用した通信については漏れはなかったとしている。

また、この研究ではモバイルプラットフォームでのVPNについてもセキュリティを検討しているが、AppleのiOSでは安全性が高かったものの、Androidではセキュリティが脆弱であったと報告している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 最近のOSでは IPv6 がデフォルトで有効なことが多いので、今回のように IPv6にかかわる意図しない通信が発生し問題が発生するケースが往々にしてあります。今回の問題も IPv6 が無効だったら起きなかった訳なので、使う気が無いならサーバもクライアントも IPv6 を無効化してはどうでしょうか? 当たり前ですが、IPv6 と IPv4 の両方が利用可能な状況になれば、意図しなくても自動的に IPv6 が優先して使用されてしまいますので。

    「IPv6 を無効にするなんて時代に逆行している」ような気になって、なんだかよくわからないけど有効にしているままの人も多いのでは? しかし、使っていないサービス・よく理解できていないサービスを無効にするというのはセキュリティの常識です。IPv6のみに存在するプロトコルスタックの脆弱性も毎年数件発見されていますので、現に使っていないサービスのためにそのリスクを負うべきではありません。極端な例としては、IPv4 では iptables で適切にパケットフィルタリングされているが、IPv6 のパケットはフィルタリングされず全て素通りという間抜けなサーバが存在します。

    • いまだに無効化を推奨されてしまう始末なのに移行しろとか [srad.jp]寝言を言うARIN

      親コメント
      • 他人の言い分を寝言と言い切る前に自分の言ってることが寝言じゃないことをチェックするのは必須だと思うよ。

        親コメント
        • それはIPv6の無効化を推奨してる元コメに言ってくれ。

          親コメント
          • by Anonymous Coward

            元コメントは「使っていないサービス・よく理解できていないサービスを無効にする」といってるだろ?
            使ってるなら適切に運用すればいいだけであって、無効化をするべきじゃない。
            よく読めよ。

        • by Anonymous Coward

          じゃあIPv6に移行したあなたはどうやってここに書き込んだの? スラドはIPv6未対応のはずだけど。

          • フォールバックがあるので移行しても書き込めるよ
            移行とは言っても、互換性を保持しないとは言ってないからね
            # 例えるなら、Win7に移行してもXPモードを使わないとは言ってない

            親コメント
            • by Anonymous Coward

              フォールバックにはIPv4アドレスが必要なわけで、フォールバックするためのIPv4アドレスが確保できるならそもそも移行は必要ないわけで。
              どう考えても寝言でしかない。

          • 第一に、移行の促進と代替案がセットになった文書は寝言じゃないと言っているだけで、自分が完全移行済みなんてことは一つも書いてないはずだけど。

            第二に、親コメのリンク先読んでみた上でやっぱり寝言だと思うならどうしてそう思うのか聞きたいんだけど。

            …これだけじゃ不親切か。
            まず、タレコミ読んだだけでもこの脆弱性がIPv6に本質的に内在しているというようなものじゃないことはわかるんじゃないかな。
            (もしそうなら全部の業者でトラブルが発生するはずでしょ。でも実際はそうではない。)

            それを理解した上で、空きブロックよりリクエストの方が多いというどうにも解決しようのない理由でIPv6への移行を促しているのを寝言だと発言することが正しいこととはとても思えないんだけど。
            それでもやっぱり寝言などという言葉で揶揄するなら、それなりの根拠が聞きたいってことです。

            親コメント
            • by Anonymous Coward

              > 移行の促進と代替案がセットになった文書は寝言じゃない

              代替案が現実的ならね。移行した(移行したとは言っていない)なんて屁理屈で言い逃れるしかないような移行案など寝言でしかない。

              > 第二に、親コメのリンク先読んでみた上でやっぱり寝言だと思うならどうしてそう思うのか聞きたいんだけど。

              読むまでもなく寝言でしかない。

              > それでもやっぱり寝言などという言葉で揶揄するなら、それなりの根拠が聞きたいってことです。

              まったく移行できてないという現実だけで十分。

              • 君が最初に寝言と言い出した人物だと仮定して書かせてもらうよ。
                そうじゃないとしたら単に悪質な煽りとしか思えんので。

                >代替案が現実的ならね。移行した(移行したとは言っていない)なんて屁理屈で言い逃れるしかないような移行案など寝言でしかない。
                で、君の代案は?寝言じゃないレベルのものが出てくるのかな?

                >読むまでもなく寝言でしかない。
                このスレッド内のリンクって#2842217の書き込み時点で君が張ったもの以外ないって気づいてる?
                読むまでもないってどういうことだい?

                >まったく移行できてないという現実だけで十分。
                状況を理解する気とその能力があるのなら
                https://www.arin.net/resources/request/ipv4_countdown_plan.html [arin.net]
                で過去の経緯を確認してごらん。
                        Phase One began in February 2011 when ARIN received its last /8 from IANA.
                        Phase Two began in September 2012 when ARIN reached three remaining /8 equivalents.
                        Phase Three began in August 2013 when ARIN reached two remaining /8 equivalents.
                        Phase Four began in April 2014 when ARIN reached one remaining /8 equivalent.
                とある。約1年ごとに何が起こっているのか、去年の4月に何が起こったのか、そして今それから1年ちょっと。
                その状況を理解した上でやっぱり寝言だというのかね?

                親コメント
    • VPNがIPv6に未対応だから今回の問題が起きてるのに…

      親コメント
    • by Anonymous Coward

      特にV6プラスのユーザーは、IPv6を無効にすることでネットワークからの攻撃を完璧に防げるのでおすすめですね:)

      • by Anonymous Coward

        無粋なコメントを付けておくと、V6プラスはIPv6上でIPv4接続性を実現している→IPv6を無効にするとIPv4でも接続できなくなる→攻撃を完璧に防げるというジョークね。

  • by Anonymous Coward on 2015年07月04日 7時17分 (#2841777)

    一次ソース [qmul.ac.uk]へのリンクなんで貼らないかなぁ。

    IPv6はAAAA応答が優先されてv4のVPNトンネルじゃなくてその外を使って通信する話。
    DNS Hijackはevil WiFi APがDHCP使ってルーティングテーブルを制御してDNS宛のパケットが自分を向くようにする話。(図があって分かりやすい)
    よくもまぁこんなことを思いつくものだ。

  • by Anonymous Coward on 2015年07月04日 13時04分 (#2841918)

    ほとんどのユーザーはNTTのIPv6閉域網に閉じ込められており隙はなかった

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...