匿名でWebサイトにアクセスできるとうたった人気VPNクライアント「Hotspot Shield」に、ユーザーの真のIPアドレスなどの情報が流出する恐れがあるという脆弱性が報告された。

この問題を発見した研究者のブログによると、Hotspot Shieldは自前のWebサーバを使って自前のVPNクライアントと通信する仕組みになっていて、このWebサーバはハードコーディングされた「127.0.0.1」のアドレスと895番ポートでホスティングされている。

これに対して、クロスサイトスクリプトインクルージョン（XSSI）やDNSリバインディングと呼ばれる攻撃を仕掛けることで、ユーザーの国やWi-Fiネットワークの名称といった情報を入手することができると研究者は説明。場合によってはユーザーの真のIPアドレスを突き止めることも可能だと主張している。

研究者はTwitterなどを使ってHotspot Shieldに接触を試みたものの、反応がなかったため、コンセプト実証コードを公開したとしている。

ZDNetの報道によると、Hotspot Shieldを開発しているAnchorFreeは、ユーザーに関する一部の情報が流出する可能性があることは認めたものの、真のIPアドレスが流出する可能性については否定している。修正のためのアップデートは近日中に公開予定だという。

関連キーワード 情報流出 | VPN

