ニュース

グローバル IPのIPsec VPNで広範なサイバー攻撃 ~「SoftEther VPN」「PacketiX VPN」に対策アップデート

レートリミットの新設で総当たり攻撃を受けた際のリソース消費を抑制

「SoftEther VPN」v4.38 Build 9760

 オープンソースのVPNソフト「SoftEther VPN」および、その製品版「PacketiX VPN」の最新ビルドv4.38 Build 9760が、8月17日に公開された。これまでにリリースされたベータ版(Build 9754、Build 9758)の変更をすべて含んだRTM(Release To Manufacturing)ビルドで、Raspberry Pi 4にも対応するLinux向けのARM64ビルドも製品版として利用できるようになっている。

 本バージョンでは、海外からと思われるサイバー攻撃が日本のグローバル IPのIPsec VPN装置で広範囲に確認されたことを受け、本バージョンでは影響を緩和するための対策が施されている。最新ビルドではIPsec Informational Exchangeパケットを送り返す処理にレートリミットが設けられており、攻撃者によるブルートフォース(総当たり)を受けてもIPsec Informational Exchangeパケットの応答は1秒間に最大20回までしか行わなず、以降は応答しないようになっている。そのため、IPsec VPN セッションが確立されてもCPUやメモリ、ネットワーク帯域の無駄な消費は抑えられるという。

 とくに「SoftEther VPN」「PacketiX VPN」でL2TP/IPsecなどのIPsec VPN機能を有効化している場合、事前共有鍵(Pre-shared key)を初期値の「vpn」のままにしておくことは推奨されていないとのこと。利用中の場合は、攻撃の有無にかかわらずもう一度設定を確認しておきたい。

 「SoftEther VPN」は、リモートアクセスVPNと拠点間接続VPNを簡単に構築できるソフト。もともとは筑波大学の学術研究プロジェクトで、「Apache License 2.0」で利用可能。ソフトイーサ(株)から「PacketiX VPN」として製品提供もされている。対応OSはWindows、Mac、Linux、FreeBSDおよびSolaris。いずれも公式サイトからダウンロードできる。

ソフトウェア情報

「SoftEther VPN」
【著作権者】
筑波大学 SoftEther VPN プロジェクト
【対応OS】
Windows/Mac/Linuxなど
【ソフト種別】
フリーソフト
【バージョン】
4.38 Build 9760(21/08/17)