ExpressVPNは、リモート・デスクトップ・プロトコル(RDP)トラフィックが仮想プライベート・ネットワーク(VPN)トンネルをバイパスし、ユーザーの実際のIPアドレスが露出してしまうWindowsクライアントの欠陥を修正した。
VPNの重要な前提の1つは、ユーザーのIPアドレスをマスクすることであり、これによりユーザーはオンライン上で匿名性を保ち、場合によっては検閲を回避することができる。これを怠ることは、VPN製品として技術的に重大な失敗となります。
ExpressVPNはVPNサービスのトッププロバイダーであり、常にトップクラスのVPNサービスと評価され、世界中で数百万人に利用されています。ユーザーデータを保持しないRAMのみのサーバーを利用し、監査済みのログなしポリシーを遵守しています。
2025年4月25日、「Adam-X」として知られるセキュリティ研究者が、ExpressVPNのバグ報奨金プログラムを通じて、ポート3389経由で送信されるRDPおよびその他のTCPトラフィックを暴露する脆弱性を報告しました。
調査の結果、ExpressVPN チームは、この問題の原因が、内部テストに使用されたデバッグコードの残骸が誤って製品版のビルド、具体的には 4 ヶ月前にリリースされた 12.97 から 12.101.0.2-beta に含まれていたことにあることを突き止めました。
“ユーザーがRDPを使用して接続を確立した場合、そのトラフィックはVPNトンネルをバイパスする可能性がある “とExpressVPNはアナウンスで報告した。
“これは暗号化には影響しませんでしたが、RDP接続からのトラフィックが期待通りにExpressVPNを経由しないことを意味しました。”
“その結果、ISPや同じネットワーク上の誰かのような監視者は、ユーザーがExpressVPNに接続されていることだけでなく、RDP経由で特定のリモートサーバーにアクセスしていること、つまり通常は保護されているはずの情報を見ることができた。”
パッチは2025年6月18日にリリースされたExpressVPNバージョン12.101.0.45で利用可能になった。
プライバシー保護会社は、このセキュリティの欠陥はトンネルの暗号化を損なうものではなく、漏洩のシナリオはリモート・デスクトップ・プロトコル(RDP)を使用している場合にのみ影響するものであり、顧客にとってリスクが低いと考えている、と指摘している。
「前述のように、この問題は、一般的な消費者が一般的に使用しないプロトコルであるRDPをアクティブに使用しているユーザーに最も一般的に影響を与えたと思われます。
“ExpressVPNのユーザーベースが企業顧客よりもむしろ個人ユーザーで主に構成されていることを考えると、影響を受けたユーザーの数は少ないと思われる。”
RDPは、ユーザーがネットワーク経由でWindowsシステムをリモートコントロールできるようにするMicrosoftネットワークプロトコルであり、IT管理者、リモートワーカー、企業で使用されている。
それでも、究極の保護のために、ユーザーはWindowsクライアントをバージョン12.101.0.45にアップグレードすることが推奨されている。
ExpressVPNは、今後同様のバグが本番環境で発生しないよう、開発テストの自動化を強化するなど、内部のビルドチェックを強化するとしている。
昨年、ExpressVPNは、ユーザーがWindowsクライアントで「スプリットトンネリング」機能を有効にした場合にDNSリクエストリークを引き起こす別の問題に直面した。
将来のリリースで修正が実装されるまで、この機能は一時的に無効化されました。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; /*object-fit: cover;*/ border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
ダミーのためのクラウド検知と対応
新たな脅威がビジネスに影響を及ぼす前に、リアルタイムで対処します。
この実用的でナンセンスなガイドで、クラウド検知と対応(CDR)がセキュリティチームにどのような優位性をもたらすかを学びましょう。
Comments