コンテンツにスキップするには Enter キーを押してください

新たな調査でVPNアプリの関連性とセキュリティの欠陥が明らかに

投稿日 2025年8月19日

Google Playにある20近くのVPNアプリケーションに、ユーザーのプライバシーに影響を及ぼすセキュリティ上の弱点が存在し、送信データが復号される恐れがあることが、新たなCitizen Labの報告で明らかになりました。

さらに、これらのアプリケーションを提供するVPNプロバイダー同士は互いに関連している可能性があり、彼らは別々の企業であると主張しつつも、実際の身元を隠すために様々な手段を用いています。

これまでの報告で、Innovative Connecting、Autumn Breeze、Lemon Cloveという、シンガポールに拠点があると主張する3つのVPNプロバイダーが中国人と関連していることが指摘されていましたが、Citizen Labの分析では、これらのアプリケーション間のさらなる繋がりが特定され、他のVPNアプリやプロバイダーとの関連性も明らかになりました。

Citizen Labの報告書(PDF)によると、Innovative Connecting、Autumn Breeze、Lemon Cloveの8つのVPNアプリケーションは、コードや依存関係、ハードコードされたパスワードを共有しており、攻撃者がユーザーの通信を復号できる可能性があります。これらのアプリはGoogle Playで合計3億8,000万回以上ダウンロードされています。

これら3社は、2020年に米国から制裁を受けた中国のサイバーセキュリティ企業Qihoo 360との繋がりが以前から指摘されており、アプリケーション層のVPNサービスを提供し、中国のグレートファイアウォールを回避するために設計されたShadowsocksプロトコルに依存しています。

このプロトコルは共通鍵暗号を使用しており、非推奨の暗号やハードコードされたパスワードの使用により、さまざまな攻撃に対して脆弱です。さらに、OSのコネクション追跡フレームワークとの相互作用により、攻撃者が接続を乗っ取ることが可能となります。

これら8つのアプリ(Turbo VPN、Turbo VPN Lite、VPN Monster、VPN Proxy Master、VPN Proxy Master – Lite、Snap VPN、Robot VPN、SuperNet VPN)は、IPsecおよびShadowsocksプロトコルをサポートし、コードの重複が顕著で、解析や自動セキュリティチェックを欺く仕組みを実装しています。

すべてのアプリケーションで、接続の干渉やパケットインジェクション攻撃に対する脆弱性が確認されており、ユーザーの位置情報を収集し、弱い暗号化を使用し、Shadowsocksの設定にハードコードされたパスワードが含まれています。

広告。スクロールして続きをお読みください。

Citizen Labは、ハードコードされたパスワードを利用して、これらのアプリケーションを提供する3つのVPNプロバイダーが同じインフラを共有していることを突き止め、両者の繋がりがさらに強まったとしています。

別のプロバイダーグループであるMatrix Mobile PTE LTD、ForeRaya Technology Limited、Wildlook Tech PTE LTD、Hong Kong Silence Technology Limited、Yolo Mobile Technology Limitedも、同じプロトコルの使用、コードの類似性、難読化などから関連がある可能性があります。

これらのVPNクライアントは、合計3億8,000万回以上ダウンロードされており、接続推論攻撃に対する脆弱性があり、難読化されたパスワードを含み、同じIPアドレス群に接続しています。

他にも、Fast Potato Pte. LtdおよびFree Connected Limitedという2つのプロバイダーが、同じ独自プロトコル実装に依存するVPNクライアントを提供しています。

Citizen Labはまた、VPN Super Inc.、Miczon LLC、Secure Signal Inc.の3つのアプリケーションも分析しましたが、これらは他のVPNとの関連性は見られず、ProGuard以外の難読化は使用していませんでした。

Citizen Labによると、分析対象となったアプリケーションで特定されたセキュリティおよびプライバシーの問題は、ユーザーに対して様々な影響を及ぼし、未公開の位置情報収集による信頼とプライバシーの侵害、通信の傍受や改ざんのリスクが生じています。

「私たちが特定した問題は、ユーザー、プロバイダー、アプリストアすべてに影響を及ぼします。少なくとも、プライバシーを重視するVPNユーザーは、Shadowsocksの使用を避けるべきです。これらの開発者のアプリも含め、Shadowsocksはプライバシー保護のためではなく、検閲回避のために設計されたものだからです」とCitizen Labは指摘しています。

関連記事: 台湾のウェブホスティング企業が中国APTにより高価値ターゲットへのアクセス目的で攻撃される

関連記事: Google Playでホストされた300の悪意ある「Vapor」アプリが6,000万回ダウンロードされる

関連記事: PCI DSS 4.0.1:業界による業界のためのサイバーセキュリティ設計図

関連記事: トラフィック、状態、組織データがネットワーク強化に役立つ方法

翻訳元: https://www.securityweek.com/new-research-links-vpn-apps-highlights-security-deficiencies/

Published in securityweek.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です