ExpressVPN bug has been leaking some DNS requests for years
2024/02/11 BleepingComputer — ExpressVPN の最新バージョンから、スプリット・トンネリング機能が削除された。その背景にあるのは、ユーザーがアクセスするように設定された、DNS サーバのドメインが公開されるというバグの発見である。このバグは、2022年5月19日〜2024年2月7日に公開された、ExpressVPN Windows バージョン12.23.1~12.72.0 に入り込んだものであり、スプリット・トンネリング機能を使用している場合のみ影響が生じるという。
このスプリット・トンネリング機能によりユーザーに提供されるのは、一部のインターネット・トラフィックを選択的に VPN トンネルの内外にルーティングする機能である。したがって、ローカル・アクセスと安全なリモート・アクセスの両方を、同時に必要とするユーザーは柔軟性を得ることになる。
しかし、この機能のバグにより、ユーザーの DNS リクエストが、本来あるべき ExpressVPN のインフラへ向けてではなく、ユーザーの ISP に向けられるという事態が生じた。通常では、すべての DNS リクエストは、ExpressVPN のログレス DNS サーバを経由して発行されるため、ユーザーが訪問したドメインの、ISP などの組織による追跡が防止される。
しかし、このバグにより、一部の DNS クエリがコンピュータに設定された DNS サーバ(通常はユーザーの ISP サーバ) に送信され、そのサーバによるユーザー閲覧が追跡できるようになっていた。
ExpressVPN が公表した DNS リクエストのリークの発生により、アクティブなスプリット・トンネリングを使用している Windows ユーザーは、閲覧履歴を第三者に公開することになり、VPN 製品のコアとなる約束が反故にされてしまう。
ExpressVPN は、「ユーザーが ExpressVPN に接続すると、DNS リクエストは ExpressVPN サーバに送信されることになっている。しかし、このバグのせいで、ユーザーからのリクエストの一部が、サードパーティのサーバに送られるようになっていた。それより ISP は、ユーザーが訪問している google.com などのドメインを知ることになる。ただし、ISP は個々の Web ページや検索結果などの、オンライン行動の結果を知ることは出来ない。なぜなら、ユーザーのオンライン・トラフィックの内容は、すべて暗号化されているため、ISP などの第三者は参照できないからだ」と述べている。
この問題は、CNET の Attila Tomaschek により発見され、ExpressVPN に対して報告された。ExpressVPN によると、この問題が影響を及ぼすのは、同社の Windows ユーザーの約 1% であり、同社においてバグが再現できたのは、選択したアプリに対してのみ VPN の使用を許可する、スプリット・トンネリング・モードのケースのみだったという。
Windows 上で ExpressVPN のバージョン 12.23.1〜12.72.0 を使用しているユーザーは、そのクライアントを、最新バージョンの 12.73.0 にアップグレードする必要がある。最新バージョンでは、スプリット・トンネリング機能が削除されている。しかし ExpressVPN は、このバグが修正された後の、将来のリリースで再び導入するとしている。
アップグレードが不可能な場合には、スプリット・トンネリングを無効化すれば、DNS リクエスト・リークを防げるはずだ。どうしてもスプリット・トンネリングの使用が必要なケースでは、このバグの影響を受けない バージョン 10 をダウンロードして使用することを、ExpressVPN は推奨している。
このところ、VPN に関連する脆弱性が多発しています。つい先日の 2024/02/09 には、「SonicWall SSL-VPN の脆弱性 CVE-2024-22394 が FIX:ファームウェアの更新が急がれる」がありましたし、その他にも Ivanti や、Cisco などもあります。よろしければ、VPN で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.