日本は影響大と言われてるルータを含むVPN製品に脆弱性が見つかってます

ここ何年かで脆弱性という言葉はすっかりメジャーになったと思います。
またCVE-****で始まるMS等のリリース情報を目にしたことがある方も相当多い
と思います。

400万台を超えるルータ等を含むVPN製品に脆弱性が見つかっており、日本も
対象に入ってるという発表ですが、なぜかあまり国内のニュースサイトや
IT系情報サイトで取り上げられてません。日本では特にソフトバンク提供の
ルーターが名指しで指摘されてます。個人でDDNS機能を使ってる人も多いし、
個人ユーザーも多いSynology製品でも同様の問題が見つかってます。
VPNサーバーも条件によっては影響があるので影響範囲はかなり大きく、
クライアントベースにすると更に台数が増えるので、その影響は甚大です。

発見された脆弱性はいくつかありますが、厄介なのは攻撃者がネットワーク
インタフェースを経由して任意のトラフィックをルーティングできる点です。
黙ってみてるだけならその瞬間の実害はありませんが、通信内容がダダ洩れって
ことなので非常に危険です。オンラインバンキングや買い物をした際の認証情報も
全て攻撃者に渡ってしまうことになり、悪意を持ってその情報を利用されると
ユーザー側では手が付けられない状態になってしまいます。

私もVPNサーバを使っており、今回クライアント側で出来る対策として挙がってる
IPsecを再確認しました。使ってるPC全てではなく実験用PCは敢えて使ってなくて
メインPCやオンラインショッピングをするPCだけ使うように設定していましたが
この発表を見て帰宅後すべてのPCに適用しました。
対策のもう一つはISP側でやらないと出来ないのですが、メジャーなISPをざっと
見てもこの対策を発表してるISPは今のところありません。発表はせずに対策を
してくれていればいいのですが・・・。

脆弱性は今やIT企業以外も参入して様々な業種の企業に有償で情報提供する程
育っている商材です。当然ISP企業で知らないってことはありえないはずですが
なぜか発表しているところは見つかりませんでした。

関係情報URLに貼ったのは、マイナビ系のITTECHのサイトです。会員登録しないと
見れませんがニュースの元になってる発表をしたTop10VPNが発表したURLも
貼っておきます。
https://www.top10vpn.com/research/tunneling-protocol-vulnerability/

フジテレビや同業他社の問題よりもこのニュースの方がはるかに影響と実害の
出る可能性が大きいと思います。