MS、「MS-CHAP v2」認証の脆弱性についてセキュリティアドバイザリを公開

　日本マイクロソフト株式会社は21日、VPN接続に用いられるプロトコル「MS-CHAP v2」の既知の脆弱性に対する詳細な悪用コードが公開されているとして、セキュリティアドバイザリを公開した。現時点では攻撃は確認されていないが、マイクロソフトでは状況を監視し、情報を提供していくとしている。

　この問題は、MS-CHAP v2認証のやり取りを第三者が解析することで、情報漏えいが発生する可能性があるもの。VPNにおいて、PPTP接続でMS-CHAP v2認証を追加の拡張プロトコル（PEAP）を伴わずに単体で利用している場合に影響があり、脆弱性が悪用された場合、攻撃者にユーザー資格情報を取得される可能性がある。

　マイクロソフトではこの問題への対策として、PEAPを併用することや、その他の接続タイプであるL2TP、SSTP、IKEv2を利用することを推奨している。