米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、新たに発行したモバイル通信ガイドラインの中で、スマートフォン利用者に対し厳しい警告を発しました――個人向けVPNサービスは使用しないように、というものです。iPhoneおよびAndroidユーザー向けのこの文書では、そのようなサービスはリスクを低減することにしばしば失敗し、むしろ脅威が集中する地点を移動させているに過ぎないと強調しています。
CISAによれば、コンシューマー向けVPNは、残余リスクをインターネットプロバイダからVPN事業者へと移転させる一方で、全体としての攻撃対象領域を拡大してしまうことが多いといいます。ユーザーは事実上、自らの信頼をVPNサービスに預けることになりますが、同庁は、多くの事業者が疑わしいセキュリティおよびプライバシー運用を行っていると指摘しています。
この警告は、商用スパイウェアやモバイル監視ツールに対抗するより広範なキャンペーンと軌を一にするものです。情報機関は、攻撃者が正規のVPNクライアントを装った悪意あるアプリケーションを配布し、それらをデバイスへのアクセスを得るための便利なトロイの木馬チャネルとして利用する事例が増加していることを観測しています。これらのプログラムは、通信内容、閲覧履歴、銀行やその他の機密性の高いサービスの認証情報を傍受することができます。
CISAは、こうしたリスクがVPNの急速な普及によって一層悪化していると強調します。ユーザーは、ジオブロッキングの回避、コンテンツ制限の迂回、あるいはアダルトサイト向け年齢確認法のような立法措置への対応などを目的として、こうしたアプリケーションをインストールするケースが増えています。不信感が高まり、プライバシー問題を手早く「解決」したいという欲求が強まる中、多くの人が最初に目にしたアプリをそのままダウンロードしてしまいます――それらのプログラムは、良くても効果が乏しく、悪ければ完全に悪意あるものである可能性があります。
CISAの表現は、個人向けVPNを全面的に禁止しているかのように聞こえるかもしれませんが、文書の核心は評判の怪しいプロバイダに焦点を当てています。同庁は、所有構造が不透明である場合、公的なデータ保護へのコミットメントが存在しない場合、ユーザー情報の収集および保存に関する明確な制限が定められていない場合に問題が生じると警告しています。そのような状況では、VPNは保護ツールとしての役割を失い、ユーザーを監視するための新たな観測点となってしまいます。
同時に、この勧告は、それでもなおVPNの利用を検討する人に向けた選定基準も示しています。主な要件として挙げられているのは、厳格かつ検証可能なノーログポリシー、OpenVPNやWireGuardといった最新の暗号プロトコルの使用、DNSリーク保護、そしてVPNトンネルが途切れた際にネットワーク接続を遮断する「キルスイッチ」機構の搭載です。さらに、トラフィックの多段階ルーティングや、潜在的な侵害の影響を最小化するための暗号鍵の頻繁なローテーションといった追加的な対策についても言及されています。
翻訳元: https://meterpreter.org/cisas-stark-mobile-security-warning-stop-using-personal-vpns-now/
