慎重な方へ VPN 今日の慎重なVPNユーザーにとって、プライバシーへの約束が極めて重要ですが、その約束は、証拠もなく企業によってなされることがあまりにも多いのです。
ログ非保持ポリシー、最新の暗号化アルゴリズム、機密性の高い顧客情報の保存を拒否する姿勢、そしてサーバーの完全な所有権は、強力VPN構成する要素の一部に過ぎません。しかし、これらは個々のユーザーが確認することがほぼ不可能な要素でもあるのです。
だからこそ、VPN 第三者監査を受けることは極めて重要です。これにより、外部のセキュリティ専門家が、企業がVPN 運営のために開発・導入したソフトウェアやハードウェアを検証することが可能になります。住宅の検査で損傷の兆候が明らかになるのと同様に、VPN は、今日のプライバシー保護技術において最も重要な要素の一つに潜むセキュリティ上の脆弱性を明らかにするのです。
そこで、当社が運用・保守を行う2つのVPN 「Malwarebytes Privacy VPN 」VPN 「AzireVPN」の両方を支えるインフラに対し、初めて第三者監査を受けたことを誇りに思います。この二重構造は、2024年後半にAzireVPNを買収した結果によるものです。 両製品とも、お客様にVPN および暗号化サービスを提供するために、同一のサーバーソフトウェアおよびハードウェアを使用しています。
Malwarebytes Privacy VPNソフトウェアに対する監査の結果、以下の点が判明しました:
- 「重大」と分類された2件の問題
- 「高」と分類された課題は0件です
- 「中」と分類された2件の問題
- 「低」と分類された2件の問題
本監査では、共通脆弱性評価Standard CVSS)に準拠した技術的スコアを付与することで、問題の深刻度(「重大」から「軽微」まで)を判定しました。この業界標準のシステムは、世界中のセキュリティ研究者によって、ソフトウェア、ハードウェア、およびファームウェアで発見された脆弱性の深刻度を測定するために使用されています。数値が高いほど、脆弱性の深刻度も高くなります。
最終報告書によると:
「全体として、これらのシステムは高いセキュリティレベルを示しており、ユーザーのプライバシー保護を十分に支援できる体制が整っています。同規模・同程度の複雑さを持つシステムと比較しても、良好なセキュリティレベルにあると見受けられます。評価の過程において、ユーザーアクティビティのログ記録が行われている兆候は確認されませんでした。また、システムへのアクセスは厳格に管理されており、不必要なリモートアクセス、ローカルアクセス、SSHアクセスが公開されていることはありませんでした。脆弱性はいくつか特定されましたが、重大な問題1件を含め、そのほとんどはすでに修正済みであり、残りの項目についても現在解決に向けて対応が進められています。」
監査担当者からも認められている通り、当社のエンジニアはすでに「重大」な脆弱性1件、「中」の脆弱性2件、「軽微」な脆弱性1件を修正済みです。また、当社のチームは、ソフトウェアスタックに残っている「重大」な脆弱性1件と「軽微」な脆弱性1件の修正にも積極的に取り組んでいます。
課題
X41 D-Secは2つの重大な問題を発見しました。
CVSSスコア9.4が付けられた最初の重大な問題は、Malwarebytes VPN Malwarebytes サーバーの初期設定および運用に関するものです。
新しいサーバーをネットワークに接続する際、Malwarebytes サーバーに対し、「Debianイメージ」と呼ばれるものをダウンロードしてインストールするようMalwarebytes 。これは、物理的なコンピューターハードウェアにDebianオペレーティングシステムをインストールするための、単なるダウンロード可能なファイルです。これは、ネットワーク上で迅速かつ信頼性の高い分散型のマシン展開を可能にするため、コンピュータ業界全体で毎日数え切れないほど繰り返されているプロセスです。
研究者らは、Debianのイメージは安全なURLからダウンロードされていたものの、チェックサムと呼ばれる検証用データの一部について、Debian CD署名鍵を用いた署名の検証が行われていなかったことを突き止めた。
ソフトウェアの世界において、デジタル署名は極めて重要です。なぜなら、デジタル署名によって、デバイスにダウンロードされたプログラムが、開発者が公開した本来のプログラムであることを証明できるからです。適切な署名検証が行われない場合、攻撃者は改変されたプログラムを配布しても、コンピュータを欺いてそれが正規のものだと信じ込ませることができてしまいます。
弊社はこの脆弱性の深刻さを認識しており、すでに修正を施しております。
CVSSスコア9.3が付与された2つ目の重大な問題は、VPN 起動時の動作にも関係しています。
Malwarebytes VPN 、ネットワーク経由でブートファイルの配信とインストールを行うためのLinux用Preboot Execution Environment(PXE)を利用してオンライン接続を行います。これは、ローカルファイルからの起動とは対照的な仕組みです。 セキュリティ研究者は、このプロセスについて「いかなる形式の暗号署名も欠いているため、『中間者攻撃』により、攻撃者のコードがクライアントシステム上で実行される可能性がある」と警告しています。
このような攻撃を行うには、当社のデータセンター内のサーバーに物理的にアクセスできる必要があります。とはいえ、当社はこの脆弱性の重要性を認識しており、その対策に取り組んでいます。
残りの4つの問題については、リプレイ攻撃、ポートリレーの悪用、トラフィックの観測可能性、および十分な執念があれば悪用され得るパディングオラクルといったリスクが明らかになりました。そのうち、リプレイ攻撃、トラフィックの観測可能性、およびパディングオラクルに関する3つの問題はすでに修正済みであり、残りの1つの問題についても、当チームが修正に取り組んでいます。
透明性のあるプライバシー
「オンライン上でプライバシーを守るということは、何か隠したいことがあるからだ」という誤解が世間に広まっています。しかし、Malwarebytes VPN 、現実はその正反対です。私たちは、改善すべき点をユーザーに示すことで、オンライン上のプライバシーを守るお手伝いをしています。
すべての企業が第三者監査を受けているわけではなく、また、その監査結果を公表する企業も限られています。実際、 Android 透明性や説明責任に関する重大な欠陥が見られたと報告されていますが、VPN事業者自身がこの事実を公表することはほとんどありません。
しかし、この取り組みにおいて、そして私たちにとって最も重要なのは、自己満足ではありません。最も重要なのは、皆様のプライバシーです。これらの結果を通じて、皆様がインターネット上の通信や活動について、誰を信頼すべきか、より的確な判断を下せるようになることを願っています。
Malwarebytes 、監査を実施したペネトレーションテスト企業X41 D-Sec、および監査に携わったセキュリティ研究者のDjamal Touazi氏、JM氏、Markus Vervier氏、Robert Femmer氏、Eric Sesterhenn氏Malwarebytes 。
監査報告書の全文は以下からご覧いただけます。
私たちはプライバシーについて単に報告するだけでなく、それを活用する選択肢を提供します。
Privacy 出し以上の広がりを見せてはならない。オンラインプライバシーを守るには Malwarebytes Privacy VPNで守ってください。
