VPNサービスのNordVPNがハッキングされた事実を認める

バーチャルプライベートネットワーク(VPN)プロバイダーのNordVPNは「オンライン上のあなたのプライバシーを守る」とうたっている。そのNordVPNがハッキングを受けたことを認めた。

同社が侵入されたという噂が先に流れ、それを認めるかたちとなった。「期限が切れた内部プライベートキーをNordVPNが露出させ、これにより誰でも自分のサーバーをNordVPNのようにしてスピンアウトさせることができるようになるかもしれない」というのが最初の噂だった。

ユーザーのインターネットプロバイダーやインターネットブラウジングトラフィックを知ろうとする動きからプライバシーを表面上は保護するため、VPNプロバイダーの人気は高まりつつある。それゆえにジャーナリストや活動家は、特に敵対的な状況においてはこうしたサービスを往々にして利用する。これらのプロバイダーはユーザーの全インターネットトラフィックを暗号化する。これにより、ユーザーがどのサイトを訪れているのか、あるいはどのアプリを使っているのかをネット上の他の誰かに知られないようにする。しかしそれは多くの場合、ブラウジング履歴をインターネットプロバイダーからVPNプロバイダーに変えることを意味する。各プロバイダーがユーザーが訪れた全サイトをロギングしているかどうかは不明で、つまり多くのプロバイダーは疑わしいのだ。

この点に関して、NordVPNは「ゼロログ」ポリシーを掲げていた。「我々はプライベートなデータの追跡、収集、共有はしない」と言っている。しかし、侵入はハッカーが一部のユーザーのデータにアクセスできる位置にいるかもしれないという警告につながる。

NordVPNはTechCrunchに対し、データセンターの1つが2018年3月にアクセスされたと語った。「我々がサーバーを借りているフィンランドにあるデータセンターの1つが許可なくアクセスされた」とNordVPNの広報担当Laura Tyrell(ローラ・ティレル)氏は話した。

データセンタープロバイダーから不安定なリモートマネジメントシステムを乗っ取ることで攻撃者はサーバーへのアクセスを入手し、1カ月ほど活動してきた。NordVPNはそのようなシステムが存在することを把握していなかった、としている。

NordVPNはデータセンタープロバイダーの名前は明らかにしていない。

「サーバーそのものはいかなるユーザーのアクティビティログも含んでいない。我々のアプリケーションはユーザーが作った認証のためのクレデンシャル情報(認証に使われるユーザーIDやパスワードの情報)を送っておらず、ユーザーネームやパスワードも奪われていない」と広報は話した。「ウェブサイトのトラフィック乱用を可能にする唯一の方法は、NordVPNにアクセスしようとした1回のコネクションを妨害するためにパーソナライズされ複雑化された中間者攻撃だ」。

広報によると、期限の切れたプライベートキーは他のサーバーのVPNトラフィックを解読するためには使用できない。「NordVPNは数カ月前に侵入に気づいた」と話した。「しかし、インフラ内のすべてのものが安全であることを100%確かめたかったために、今日まで侵入を明らかにしてこなかった」と広報は説明した。

この発表と侵入の証拠をレビューしたシニアセキュリティ研究者に我々は話を聞いた。報道機関に話す時には許可を必要とする企業に勤めているために名前は明かさないよう言われた。この研究者は今回の発見について「悩ましい」とコメントした。

「これは未確認で、さらなる確固たる証拠を待っているが、今回の件はプロバイダーのシステムの完全リモート侵害を示している」と研究者は指摘した。「こうしたサービスを利用したり促進したりしている人にとってはかなり由々しき事態となる」。

NordVPNは「我々のネットワークの他のサーバーは影響を受けていない」と話した。

しかしセキュリティ研究者は「攻撃者がネットワークへアクセスする可能性があるという大きな問題をNordVPNが無視していた」と警告した。「あなたの車が盗まれて乗り去られたというのに、ラジオのどのボタンがいじられたのかとつまらない議論をしているようなものだ」。

NordVPNは、同社が侵入を検知するシステムを導入したことを認めた。これは企業が初期の侵入を感知するために使う人気のテクノロジーだが、「(データセンター)プロバイダーが残した非公開のリモートマネジメントシステムについては誰も知りえない」と広報は語った。

「彼らは広告に何百万ドルも使っているが、明らかに効果的な防御セキュリティには使っていない」と研究者は話した。NordVPNは最近、TechRadarとPCMagに推奨された。CNETはNordVPNのことを「お気に入りのVPNプロバイダー」と表現している。

また「他のVPNプロバイダーも時を同じくして侵入されていた」と言われている。TechCrunchも確認したが、オンライン上に投稿された似たような記録では、TorGuardとVikingVPNも侵入されたようだ。

TorGuardの広報はTechCrunchに対し、サーバー1つが2017年に影響を受けたが、VPNトラフィックへのアクセスについては否定した。TorGuardはまた、最初に侵入を明らかにした5月のブログ投稿に続いて、より詳しい声明文を出した。

画像クレジット:Getty Images

[原文へ]

(翻訳:Mizoguchi)