PureVPN のバグにより Linux 上の IPv6 トラフィックが漏洩

セキュリティ研究者が、PureVPN の Linux クライアントに、ユーザーの実際の IP アドレスが公開され、ファイアウォールの保護が弱まる可能性がある欠陥を発見しました。

PureVPNによると、これらの脆弱性はLinux GUI v2.10.0とLinux CLI v.2.0.1に限定されており、Windows、macOS、Android、iOSなどの他のプラットフォームには影響がないとのことです。

いくつかのベスト VPN ガイドに掲載されている PureVPN は、10 月中旬までに問題を修正するパッチをリリースすることを約束しています。

漏洩はどのようにして発見されたのでしょうか?

研究者のアナゴジスティスは9月17日、自身のブログで、PureVPNのLinuxアプリが特定の状況下でIPv6トラフィックを漏洩し、その後ファイアウォールルールを復元せずにリセットしてしまうと報告した。この問題は8月下旬に初めて発見された。

Anagogistis 氏によると、カーネル 6.8 を搭載した Ubuntu 24.04.3 でのテストでは、クライアントが IPv6 接続をブロックできなかったことが示され、VPN に接続していてもユーザーの実際の IP が漏れてしまう可能性があるという。

さらに、アプリは起動時に既存のファイアウォールルールを上書きしましたが、切断後もルールを元に戻しませんでした。その結果、影響を受けたシステムはVPN接続前よりも保護レベルが低下しました。

Anagogistis は、脆弱性を実際に示す 2 つのビデオを YouTube に公開しました。

IPv6リークが問題となる理由

VPNの本来の目的は、IPアドレスを隠し、トラフィックを暗号化することです。IPv6トラフィックがトンネルをバイパスした場合、ウェブサイトやオンラインサービスはユーザーの実際の位置情報を把握してしまう可能性があります。プライバシーを重視するユーザーにとって、これはVPNを使用する本来の意味を失わせることになります。

IPv6はIPv4に代わる新しいインターネットアドレスシステムであり、多くのネットワークが現在両方をサポートしています。IPv4のみの設定が一般的ですが、IPv6の漏洩は、接続がサイレントにフォールバックすることが多いため、一般ユーザーが気付くのが困難です。そのため、この種の欠陥は特に危険です。なぜなら、完全に保護されていると思い込んでいる人が、実際には保護されていない可能性があるからです。

ファイアウォールの問題はリスクをさらに悪化させます。システム防御を弱体化させることで、保護を強化するはずのVPNが、使用後に意図せずデバイスを無防備な状態にしてしまう可能性があります。トレント、リモートワーク、サーバーセキュリティなど、トラフィック管理に厳格なファイアウォールルールに依存しているLinuxユーザーにとって、これは深刻な問題となります。

PureVPN は IPv6 リークに対してどのように対応しましたか?

PureVPNは9月19日のセキュリティ勧告でこの問題を公に認めた。同社は責任ある情報開示に対して研究者に感謝の意を表し、修正のタイムラインを示した。

パッチは 2025 年 10 月中旬までにリリースされる予定で、次の機能を備えた Linux クライアントが更新されます。

• IPv6 トラフィックを適切にブロックするか、IPv6 キル スイッチを追加します。
• 切断後にファイアウォール ルールが復元されていることを確認します。
• 将来同様の問題が発生するのを防ぐためにテストを改善します。

その間、PureVPN は、IPv6 を手動で無効にする、切断後にファイアウォール ルールを再適用する、IPv4 のみの接続を強制するなどの回避策を推奨しています。

VPNリークは目新しいものではありません。長年にわたり、研究者たちは複数のプロバイダーにおいてDNSリーク、IPv6リーク、その他の脆弱性を発見してきました。独立したテストではこれらの問題が頻繁にチェックされているため、「リーク防止」や信頼性の高いキルスイッチなどの機能を謳うサービスは、より信頼できると考えられています。

Linuxユーザーは、VPNアプリがWindowsとmacOSを念頭に設計されていることが多いため、特有の課題に直面しています。特にファイアウォールとの連携は大きく異なる場合があり、すべてのプロバイダーがLinuxディストリビューションで徹底的なテストを実施しているわけではありません。この事例は、VPNの透明性とセキュリティコミュニティによる継続的な監視の重要性を浮き彫りにしています。

漏水の影響を受けた場合の対処法

LinuxでPureVPNをご利用の場合は、クライアントのバージョンをご確認ください。影響を受けるビルドをご利用の場合は、修正プログラムがリリースされるまで、以下の手順をご確認ください。

• トラフィックがトンネルをバイパスするのを防ぐには、システム レベルで IPv6 を無効にします。
• VPN から切断した後、ファイアウォール ルールを手動で復元します。
• 可能な場合は IPv4 のみの接続を使用します。
• オンライン IP リーク ツールを使用して設定をテストし、VPN が期待どおりに動作していることを確認します。
• Linux セキュリティに大きく依存している場合は、一時的に別の PureVPN アプリまたは別のプロバイダーに切り替えることを検討してください。
• PureVPN のクライアント アップデートが 10 月にリリースされるので、リリースされ次第インストールしてください。

PureVPN は、今回の修正により IPv6 漏洩とファイアウォールの動作の両方が解決されると述べており、同社は今後の報告をより効率的に処理するために開示プロセスを強化することを約束している。