セキュリティジャーナル。
当社は、修正され検証された後に発見内容を公開します — 簡潔な要約であり、エクスプロイトの手順ではありません。修正までの時間は、各記録の横に示されます。
これまでの出来事。
プログラム公開前の内部レビュー
2026年7月15日、私たちは CreateYourVPN の内部セキュリティレビューを開始しました。完了して再検証した修正は以下に公開しています。今後も、展開と確認が済み次第、順次追加していきます。
— CreateYourVPNチーム安全でない cross-origin 構成に対するガードレールを追加
現行の production 構成は任意のオリジンを許可していませんでしたが、運用者が設定を誤った場合、コードは危険なパラメータの組み合わせを許してしまう状態でした。この組み合わせは現在、起動時に拒否され、自動テストでカバーされています。
— CreateYourVPNチームproduction API の公開面を縮小
API の対話型の技術ドキュメントが認証なしで到達可能でした。これは保護されたデータへのアクセスを与えるものではありませんでしたが、API の内部構造の把握を容易にしていました。production ではドキュメントを現在無効化し、開発用には隔離された環境で引き続き利用できるようにしています。
— CreateYourVPNチームプラットフォームの暗号鍵を用途ごとに分離
内部レビューにより、単一の秘密が二つの異なる暗号処理に使われていたことが判明しました。これは直接的な回避を生むものではありませんでしたが、鍵が侵害された際の影響範囲を広げていました。二つの用途を分離し、それぞれを独立してローテーションするようにしました。
— CreateYourVPNチームサーバー削除後の管理鍵の消去を保証
暗号化された管理鍵の消去はバックグラウンドのネットワーク処理のあとに実行されており、それらが失敗すると再実行されないことがありました。鍵の消去をネットワークのカスケードから切り離し、保証された再試行を追加しました。到達不能なサーバーおよび処理中断のシナリオはテストでカバーしています。
— CreateYourVPNチームパートナー API の未使用の認可経路を削除
API は、現行の server-side アーキテクチャには不要な、cookie ベースの追加の認可経路をサポートしていました。production でクロスサイト攻撃は確認されませんでしたが、余分な経路は将来のミスの余地を広げていました。API は現在、明示的に定義された単一の認可方式を使用し、ネガティブテストでカバーしています。
— CreateYourVPNチームここに載るもの。
要約とタイムライン
発見の要点、脆弱性の分類、報告日と修正日。発見がSR主張を反証した場合は、レポートへの公開の訂正。
エクスプロイトの手順
手順を追った説明、PoCコード、そして皆が更新する前に他のサーバーを攻撃する助けとなる詳細。
何か見つけましたか?
再現可能な概念実証(PoC)を添えてご連絡ください。72時間以内に応答し、トリアージは社内で行います。