ネットのいろんな記事を徘徊してたら、こんな記事を見つけた。「Divide and Conquer: Cracking MS-CHAPv2 with a 100% success rate」
クライアントにWindowsマシンがたっぷりあるけど、あんまりお金がない環境、例えば、非エンジニア(…ま、エンジニアって言ってもいろいろいるけど)がいっぱいいる中小企業などで、VPNを導入するというと、PPTPを使うのが楽ちんだったりする。
なんせ、VPNクライアントはWindowsにデフォルトで搭載されているし、某家庭用IT機器メーカーの製品でもPPTPサーバ機能なんかはあったりするので、それに対応した家庭用ルーターでも買ってきて、設定すれば、さくっとPPTPが使えるようになる。
そんなPPTPもさすがにユーザー認証が必要で、そのユーザー認証に使われるパスフレーズは暗号化されて送信される。そのため、暗号化された通信を傍受されても大丈夫だと思われてきたけれど、この度、晴れて、その暗号化のやり方に問題が見つかりました、と。
一見すると、その暗号化のプロセスは、複雑なことをやってそうに見えるから、確かにフツーにクラックすると時間がかかってしょうがないように見える。故に、安全と思われてきたけど、よーく見たら、今では割と時間もコストもかからないやり方(2の56乗通りの総当たり方式)でクラックできそうなことが判明しました、と(汗)
ま、具体的には以下のようなシーンがやばくなってきますね。
PPTPのVPNサーバを本社に設定してるような会社。で、例えば、誰かが出張にでかけて、出かけたところで会社のファイルにアクセスする必要が出てきた、と。でも、3Gネットワークに接続できる、W-iFiルーターなんかを持ってなかったところに、なぜかパスワードで保護されてないWi-Fiの野良APが見えた、と。これ幸いとばかりに接続して、会社にVPNした…けど、そのAPは悪意を持った人が設置したモノで、そのAPを介した通信を覗かれてました(汗)なんて時かー。
これまでは、PPTP VPNは安全な暗号で暗号化されてるから、暗号化された通信はいくら傍受されても安心って思われていたけど、今回、発見された問題のおかげで、認証してるところ(暗号化されたパスワードがやりとりされるところ)の通信を傍受されたら、IDとパスワードを探し当てられて、盗まれるリスクが出てきたわけですね。IDとパスワードを盗まれるってのは、なりすまされるってヲチでございます。
記事の最後の方で、こんなことが書かれております。
” All users and providers of PPTP VPN solutions should immediately start migrating to a different VPN protocol. PPTP traffic should be considered unencrypted.”
PPTP VPNを使っているユーザー、プロバイダはさっさと、別のVPNプロトコルに移行すべきだ。PPTPを使った通信は暗号化されていないと認識しといた方がいい…とのこと。
あぁ、どうしよう。リスクを判断するためには、例えば、PPTPのMS-CHAPv2の脆弱性を突いた攻撃の発生頻度とか必要なんだろうけど、見つかったばかりだから、よくわかんないし。あぁ。