ExpressVPNのWindows 版で脆弱性-アップデート推奨

セキュリティニュース

投稿日時: 更新日時:

ExpressVPNのWindows 版で脆弱性-アップデート推奨

2025年7月18日、VPNサービス大手のExpressVPNは、Windows版アプリ「Version 12」において特定条件下で発生するプライバシー上の問題を修正したことを発表しました。

本件は、リモートデスクトッププロトコル(RDP)を使用中、あるいはTCPポート3389を使用するトラフィックがVPNトンネルを通らず、意図せず外部に漏れる可能性があるという脆弱性に起因しています。

脆弱性の概要と影響

この脆弱性は、ExpressVPNのWindows版アプリのバージョン12.97から12.101.0.2-betaにかけて含まれていたデバッグコードに起因しています。このコードは本来、内部テスト用として意図されたものでしたが、誤って本番リリースに混入していたことが確認されました。

この問題により、RDP接続やその他TCP 3389ポート経由の通信がVPNトンネルを経由せず送信される可能性がありました。これにより、インターネットサービスプロバイダ(ISP)や同一ネットワーク内の第三者が、VPNの使用状況や接続先のリモートサーバを観測できるというプライバシー上のリスクが存在していました。ただし、通信自体の暗号化が解除されるわけではなく、あくまでトンネル外通信の発生が問題です。

修正と対応

本件は、セキュリティ研究者「Adam-X」によって2025年4月25日に報告され、ExpressVPNのエンジニアチームは数時間以内に事実を確認し、

同月30日に修正を含むバージョン12.101.0.45をリリースしました。

リリース後、研究者によって修正が確認され、6月末にはレポートが正式にクローズされています。

実際に影響を受けた可能性のあるユーザー

本脆弱性はRDPなどの特定条件下でのみ発生するため、主に企業環境のユーザーが対象となり、ExpressVPNの主なユーザー層である個人ユーザーが影響を受ける可能性は非常に低いとされています。

ただし、攻撃者がポート3389での通信を誘導するような高度な攻撃(たとえばドライブバイダウンロードなど)を仕掛ける可能性があることを踏まえると、脆弱性の本質は重大であるといえます。特に、TCP 3389ポート上のすべてのトラフィックが対象であるため、RDPに限らず任意の通信が漏れる可能性が理論上存在しました。

今後の対策とExpressVPNの対応姿勢

ExpressVPNは今回の事案を受け、開発体制の強化を発表しています。具体的には、デバッグコードの混入を防ぐための自動化チェックやテスト体制の見直しを実施し、人的ミスの発生を最小限に抑える開発プロセスを構築するとのことです。

また、ExpressVPNは脆弱性報告制度(バグバウンティ)を通じ、セキュリティ研究者との協力体制を強化しており、今後もこのような問題を未然に防ぐための体制整備を継続していくと表明しています。

利用者への推奨対応

現在Windows版ExpressVPNを利用中のユーザーは、最新バージョン12.101.0.45へのアップデートを速やかに行うことで、この問題から保護されます。

特にRDPを利用している企業ユーザーやリモート作業者は、今一度通信経路とVPN設定の見直しを推奨します。

ExpressVPNは今後も継続的にセキュリティ強化を図るとともに、利用者のプライバシー保護を最優先に掲げる方針です。