仮想プライベート ネットワーク (VPN) は、名前が示すほどプライバシーが保護されていません。これは、サービス プロバイダーが認めているよりも多くの記録を保持している可能性があるためだけではありません。
VoidSecとしても知られるセキュリティ研究者のパオロ・スタニョ氏は、VPNプロバイダーの23%(70社中16社)がWebRTC経由でユーザーのIPアドレスを漏洩したことをテストで発見した。
WebRTC がもたらすプライバシー問題は新しいものではありません。少なくとも 2015 年から認識されていました。
WebRTCは、JavaScript APIを介したリアルタイム通信を可能にするためにウェブブラウザに実装された、人気の無料オープンソースプロジェクトです。例えば、ブラウザベースのチャットアプリの実装に使用されています。
このプロトコルは、ICE (Interactive Connectivity Establishment) フレームワークや STUN (Session Traversal Utilities for NAT) サーバーなどのオプションで使用されることがよくあります。
VPN は、家庭用ルーターがローカルデバイスと外部インターネット間のネットワーク仲介役として機能するのとほぼ同じように、STUN サーバーを使用して VPN ユーザーのローカル IP アドレスとパブリック IP アドレスを変換します。
VPNはあまりにも不安定なので、「KICK ME」のサインを身に着けているのと同じだ
続きを読む
Stagno 氏によると、WebRTC はクエリを実行して、プライベートにしておくべき情報を返すことができるとのことです。
「WebRTC では、ユーザーが使用しているシステムのローカル ネットワーク アドレスだけでなく、"隠された" ホーム IP アドレスを返す STUN サーバーにリクエストを送信できます」と彼は火曜日の投稿で述べた。
このようなリクエストは標準的なXML/HTTP通信の一部ではないため通常は目に見えないが、JavaScript経由で送信できるとスタノ氏は説明する。スタノ氏によると、この技術はWebRTCとJavaScriptの両方をサポートするあらゆるブラウザで利用できるという。
また、Brave、Chrome(デスクトップおよび Android)、Firefox、Samsung Internet Browser、Opera、Vivaldi などの多くのブラウザでは、WebRTC と JavaScript がデフォルトで有効になっています。
漏洩のある VPN のリストは、VoidSec の Web サイトで入手できます。
スタグノ氏は、プライバシー保護策としてWebRTCを無効にすることを提案しています。Chromeでは、uBlock Originなどの拡張機能が必要です。他のブラウザでは、修正方法は異なります。
WebRTCの問題に加え、セキュリティ業界は商用VPNプロバイダーを、必ずしも顧客の利益を第一に考えていないという理由で敬遠する傾向があります。中には、ユーザーのアクティビティを記録したり、広告を表示するためにユーザーを追跡したりするものや、単に安全性に欠けるものもあります。特に無料のVPNは避けるべきです。
El Reg 氏は WebRTC を無効にすることを提案しています。また、スキルがあれば、ネットワーク管理の知識を活用して独自の VPN サービスを展開することをお勧めします。OpenVPN、Trail of Bits の Algo、または Jigsaw の Outline ソフトウェアを試してみてください。®
