独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は12月1日、複数のSSL VPN(Web VPN)製品にブラウザのセキュリティ制限を回避される脆弱性が存在すると公表した。
SSL VPNは、ブラウザを使って組織内のウェブサーバやメールサーバといったネットワークリソースへ安全にアクセスできるようにする仕組み。SSL VPN製品はブラウザとサーバ間のプロキシとなり、必要に応じてコンテンツを書き換える。
今回発見された脆弱性は、細工したウェブページにアクセスした場合、ブラウザのセキュリティメカニズム(Same Origin Policy)を迂回されてしまうというもの。この脆弱性が悪用されると、遠隔地の攻撃者にVPNのセッションをハイジャックされたり、SSL VPNを通じてアクセスしたコンテンツを閲覧、改ざんされたりする可能性がある。
対策方法としては、URLの書き換えを信頼できるドメインに限定することや、VPNサーバの接続先を信頼できるドメインに限定すること、URL隠ぺい(URL hiding)機能を無効にすることなどが挙げられる。JPCERT/CCによると、この脆弱性の危険度は攻撃経路、認証レベルで「高」、攻撃成立に必要なユーザーの関与で「中」、攻撃の難易度で「低」とのことだ。
