PureVPN Linux クライアントに深刻な脆弱性:IPv6 漏洩とファイアウォール侵害

PureVPN Vulnerability Reveals IPv6 Address While Reconnecting to Wi-Fi

2025/09/18 gbhackers — PureVPN の Linux クライアントに深刻な脆弱性が発見された。この脆弱性を悪用する攻撃者により、ネットワーク再接続時にユーザーの IPv6 アドレスが公開され、VPN が提供すべきプライバシー保護が損なわれる可能性がある。この問題は、Linux システムの GUI (Graphical User Interface) バージョン 2.10.0/CLI (Command-Line Interface) バージョン 2.0.1 に影響を及ぼすが、特に顕著なのは Ubuntu 24.04.3 LTS である。

訳者追記:Anagogistis の Update によると、以下の CVE が割り当てられたようです:

IPv6 保護の失敗によるプライバシーリスク

これらの脆弱性は、ユーザーが Wi-Fi 接続を切り替えたときや、システムをサスペンドから復帰させたときなどに発生する。こうしたネットワークの変化時に、PureVPN クライアントは IPv6 保護を維持できず、重大なプライバシー漏洩が生じる。

まず、CLI モードで Internet Kill Switch (IKS) を有効化している場合には、クライアントは自動的に再接続し “接続済み” ステータスを表示する。しかし、システムは Router Advertisements によりデフォルトの IPv6 ルートを再取得するため、IPv6 トラフィックは VPN トンネルを完全にバイパスする。

さらに、”ip6tables” の “OUTPUT” ポリシーはデフォルトで ACCEPT に設定されているため、ユーザーが気付かないうちに、トラフィックは保護されたトンネルの外部へと流れる。

その一方で、GUI クライアントではさらに深刻である。切断が検出されると IPv4 トラフィックは適切にブロックされ、”VPN セッションが切断された” というダイアログが表示される。しかし、ユーザーが手動で “再接続” ボタンを押すまで IPv6 通信は継続するため、大きな脆弱性が残る。

ファイアウォール・コンフィグの侵害

IPv6 漏洩に加え、PureVPN の接続プロセスは、ユーザーの既存ファイアウォール・コンフィグを根本的に侵害する。その理由は、接続を確立する際に、クライアントがユーザーの “iptables” コンフィグを完全に消去し、INPUT ポリシーのコンフィグを ACCEPT に変更するところにある。この操作により、UFW 保護/Docker ジャンプルール/ユーザー定義ポリシーなどの、すべてのカスタム・ルールが削除される。

最も深刻なのは、これらの変更が VPN 切断後も元に戻らない点である。結果として、PureVPN 利用後のシステムは、ローカル・ファイアウォールによる防御機能が損なわれるため、接続前と比べてネットワーク脅威に著しくさらされる。

対応状況および実際の影響

これらの脆弱性を発見したセキュリティ研究者は、2025年8月下旬に脆弱性開示プログラムを通じて、PureVPN のセキュリティ・チームに詳細な技術レポートと実証動画を提出した。しかし、最初の開示から3週間が経過した現在も、これらの重大なセキュリティ問題について、PureVPN は一切の認識を示さず対応も取っていない。

この脆弱性は、現実の世界に直接的な影響を及ぼす。ユーザーは VPN による保護を信じながら、IPv6 対応ウェブサイトを閲覧し、ISP 割り当ての IPv6 アドレスを使用してメールを送信するという状態にある。しかし、IPv6 漏洩とファイアウォール設定の破壊が組み合わされることで、PureVPN がユーザーに約束したコアのセキュリティ保証が根本的に破綻している。

PureVPN の Linux クライアントに発見された脆弱性は、ネットワーク再接続時やファイアウォールの扱い方を原因とするものです。具体的には、IPv6 のルート制御が不十分で、コネクションの切断/復帰の際に VPN を通らない経路が残ってしまうというものです。また、デフォルトで “ip6tables” のポリシーが “ACCEPT” に設定されているため、ユーザーが意図せず外部に通信してしまう状況が生まれます。さらに深刻なのは、PureVPN クライアントが接続時にユーザーが作成したファイアウォールのルールを消去し、セッション終了後も復元しないことです。ご利用のチームは、ご注意ください。なお、文中にも注釈を加えていますが、この記事のソースである Anagogistis の Update によると、以下の CVE が採番されたようです。