YAMAHA RT シリーズと MS-CHAPv2 問題

ちょっと前に MS-CHAPv2 が破られたという話があり、その後、JPCERT/CC や MS からも正式にアドバイザリ^*1*2が出るという状態になっていました。

そんな中でちょっと気になっていたのが「 YAMAHA の RT シリーズって PPTP の VPN 機能がついていて、これって結構使っている人いなかったっけ？」ということでした。今日、改めて探してみたところ、 YAMAHA からも正式な情報がサイトに上がっているのを発見。YAMAHA の RT シリーズの VPN はこの問題の影響を受けるようですね。IPSec が使えない下位機種を使っていて、外出先（IPアドレスが特定できない）から接続したいという場合にはちょっと困ったことになりそうです。

FAQ for YAMAHA RT Series / Security

対策
実際に攻撃が行われるためには上記のような特殊な条件が必要なため、今すぐにPPTPの利用が問題になるということは考えにくいですが、ヤマハルーターシリーズでPPTPをご利用のお客様におかれましては、以下の対策をご検討ください。
　　・IPsecに対応している機種は、IPsecに変更する
　　　　・Windows PCからのリモートアクセスでPPTPを利用している場合は、VPNクライアントソフト「YMS-VPN7」のご利用をご検討ください。
　　・IPsecに対応していない機種(NVR500、RT58i等のネットボランチシリーズ)では、根本的解決にはなりませんが以下の対策があります。
　　　　・PPTPで利用するID、パスワードを定期的に変更する。
　　　　・通信相手をIPアドレスで特定できる場合には、IPフィルター機能を用いて接続先を限定する。
　　　　・意図しない相手からのPPTP接続がないかログで定期的に確認する。

• ^*1: MS-CHAP v2 の認証情報漏えいの問題に関する注意喚起
• ^*2: マイクロソフト セキュリティ アドバイザリ (2743314): カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる