ExpressVPNは、Windowsクライアントにおいてリモートデスクトッププロトコル(RDP)トラフィックが仮想プライベートネットワーク(VPN)トンネルをバイパスし、ユーザーの実際のIPアドレスが露出する不具合を修正しました。
VPNの主要な前提のひとつは、ユーザーのIPアドレスを隠すことであり、これによりユーザーはオンライン上で匿名性を保ち、場合によっては検閲を回避できます。これができない場合、VPN製品としては重大な技術的失敗となります。
ExpressVPNは主要なVPNサービスプロバイダーであり、常にトップクラスのVPNサービスと評価され、世界中で数百万人に利用されています。同社はユーザーデータを保持しないRAMオンリーサーバーを採用し、監査済みのノーログポリシーを遵守しています。
2025年4月25日、「Adam-X」として知られるセキュリティ研究者が、ExpressVPNのバグ報奨金プログラムを通じて、RDPおよびポート3389を介して送信される他のTCPトラフィックが漏洩する脆弱性を報告しました。
調査の結果、ExpressVPNチームは、この問題が内部テスト用のデバッグコードの残骸が誤って本番ビルドに含まれていたことが原因であることを突き止めました。具体的には、4か月前にリリースされた12.97から12.101.0.2-betaまでのバージョンが該当します。
「ユーザーがRDPを使って接続を確立した場合、そのトラフィックがVPNトンネルをバイパスする可能性がありました」とExpressVPNは発表の中で報告しています。
「この問題は暗号化には影響しませんが、RDP接続からのトラフィックが期待通りExpressVPNを経由してルーティングされていなかったことを意味します。」
「その結果、ISPや同じネットワーク上の第三者などの観察者が、ユーザーがExpressVPNに接続しているだけでなく、RDP経由で特定のリモートサーバーにアクセスしていることまで把握できた可能性があります。本来なら保護されるべき情報です。」
この問題は、2025年6月18日にリリースされたExpressVPNバージョン12.101.0.45で修正されました。
プライバシー企業である同社は、このセキュリティ上の不備によりトンネルの暗号化が損なわれることはなく、漏洩シナリオはリモートデスクトッププロトコル(RDP)を使用しているユーザーのみに影響し、顧客にとってはリスクが低いとしています。
「上記の通り、実際にはこの問題は主にRDPを積極的に使用しているユーザーに影響したと考えられます。RDPは一般的な消費者が使うことはほとんどありません」とExpressVPNのアドバイザリーには記載されています。
「ExpressVPNのユーザーの大半は個人ユーザーであり、企業顧客は少ないため、影響を受けたユーザー数はおそらく少数です。」
RDPは、ユーザーがネットワーク越しにWindowsシステムをリモート操作できるMicrosoftのネットワークプロトコルであり、IT管理者やリモートワーカー、企業で利用されています。
それでも、最も安全を期すため、ユーザーはWindowsクライアントをバージョン12.101.0.45にアップグレードすることが推奨されています。
ExpressVPNは、今後同様のバグが本番環境に持ち込まれることを防ぐため、内部ビルドチェックを強化し、開発テストの自動化も強化すると述べています。
昨年、ExpressVPNはWindowsクライアントで「スプリットトンネリング」機能を有効にした際にDNSリクエストが漏洩するという別の問題にも直面しました。
この機能は、将来のリリースで修正が実装されるまで一時的に無効化されていました。
CISOが実際に使うボードレポートデッキ
CISOは、クラウドセキュリティがどのようにビジネス価値を生み出すかを明確かつ戦略的に示すことが、経営層の理解を得る第一歩であることを知っています。
この無料で編集可能なボードレポートデッキは、セキュリティリーダーがリスク、影響、優先順位を明確なビジネス用語で提示するのに役立ちます。セキュリティアップデートを意味のある会話や迅速な意思決定につなげましょう。