多くのVPNサービスが依存しているオープンソースVPNクライアントであるOpenVPNが、暗号学およびネットワークセキュリティの教授であるマシュー・グリーン氏による監査を受ける予定です。この監査は、米国の大手VPNサービスプロバイダーの一つであるPrivate Internet Access(PIA)の資金提供を受けます。
監視国家におけるVPNの台頭
VPNサービスの成長は、特定の動画ストリーミングサービスのジオブロックを回避しようとする顧客の増加が大きな要因でしたが、新たな成長はプライバシーを守りたいという人々の欲求によって促進されるはずです。民主主義国で最近相次いで導入された監視法によって、VPNサービスはこれまで以上に重要性を増しているようです。
しかし、そのようなサービスを利用する前に、そのサービスが提供するプライバシーが保証されるかどうかを信頼する必要があります。つい最近、エドワード・スノーデン氏の暴露に加え、グリーン博士とその同僚の研究によって、VPNサービスプロバイダーの最大3分の2がNSAによる傍受に対して脆弱であることが判明しました。これは、VPNサービスを含む多くのインターネットサーバーで使用されている弱いデフォルトのDiffie-Hellman(DH)素数と、接続を弱いDH素数にダウングレードするLogjam攻撃が原因でした。
この種の攻撃は、NSA やおそらく他の国家が VPN ユーザーを簡単にスパイするために使用したと考えられています。
マシュー・グリーン博士の監査
今後このような状況が起こらないようにし、ほとんどの VPN サービス プロバイダーが使用する一般的な OpenVPN クライアントにバックドアがないことを確認するために、グリーン博士はオープン ソース ソフトウェアを監査します。
グリーン博士は、TrueCrypt 監査プロジェクトを主導し、プライバシーに配慮した暗号通貨 Zerocoin/Z-cash の作成に参加し、Apple の iMessage 暗号化の欠陥について調査を行い、最近では Android Nougat のストレージ暗号化の脆弱性など、他の多くの暗号化およびセキュリティ問題についてもコメントしています。
グリーン博士は、OpenVPNの最新版であるバージョン2.4(現在ベータ版)を監査します。ベータ版が終了次第、監査が開始されます。
「OpenVPNはほぼすべてのプラットフォームで利用可能であり、Private Internet Access VPNなどの消費者向け製品からCisco AnyConnectなどのビジネスソフトウェアまで、多くのアプリケーションで使用されているため、OpenVPN 2.4監査はコミュニティ全体にとって重要です」とPrivate Internet Accessは最近の発表で述べています。「Private Internet Accessは、クラウドファンディングのアプローチを取る代わりに、OpenVPN 2.4監査の全額を自社で資金提供することを選択しました。これは、OpenVPNがプライバシーコミュニティ全体と当社自身にとって不可欠な性質を持っているためです」とPIAは付け加えました。
監査が完了すると、PIA は結果を OpenVPN プロジェクトと共有し、結果を一般に公開する前に OpenVPN チームと協力してすべての問題を修正します。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
