Windows で使用されるVPN接続(PPTP)の認証方式であるMS-CHAPv2は、以前よりその脆弱性が指摘されてまいりましたが、7月に米国で開催されましたセキュリティ会議: Defcon20にて、「MS-CHAPv2のパスワードは完全に解読できる」という発表がありました。
つきましては、今後PPTPでの暗号化通信は使用しないことを強くお薦めします。
以下、関連記事(英語)の一部翻訳を掲載します。
Moxie Marlinspike と David Hulton は、Defcon 20 にて、MS-CHAPv2 は 100% の確率で破ることができると発表した。このプロトコルは、PPTP VPN や WPA2 Enterprise 環境などの認証として、いまだ非常に多く使用されている。
Moxie は次を推奨している。
- PPTP VPN ソリューションのすべてのユーザとすべてのプロバイダは、すぐに、別の VPN プロトコルへ移行すること。PPTP 通信は暗号化されていないと考えるべきである。
- WPA2 Radius サーバ接続用に MS-CHAPv2 の相互認証を使用している企業は、すぐに、別の仕組みへ移行すること。
MS-CHAPv2 が今破られ得ることを知り、今安全でない通信を安全にするどのような選択肢があるのか? Moxie により提言された 2つの選択肢は、「OpenVPN の設定、または、PSK モードよりもむしろ認証ベースの IPSEC」である。
[ 2013-08-31 追記 ]
コンピュータセキュリティ関連情報の発信を行う一般社団法人JPCERT からも、8月23日付で「MS-CHAP v2 の認証情報漏えいの問題に関する注意喚起」が発表されました。