出典:Facinadora/Alamy Stock Photo
AppleのApp StoreおよびGoogle Playで提供されている上位100の仮想プライベートネットワーク(VPN)アプリのうち10個が、中国企業によって密かに所有されており、ユーザーのプライバシーが危険にさらされる可能性があると研究者らが警告しています。
その名の通り、仮想プライベートネットワークは、誰もが利用できる中で最もプライベートで機密性の高い技術の一つです。企業は貴重な独自情報や通信を守るために利用し、危険にさらされているジャーナリストや抑圧的な政権下に住む市民は、政府によるインターネットの自由への制限を回避し、自分の活動を隠すために利用します。VPN製品の信頼性は、通常の状況でもリスクのある状況でも、あるいは安全性が極めて重要な状況でも、データのプライバシーにとって極めて重要です。
4月1日、Tech Transparency Project(TTP)の研究者は、人気のVPNアプリ20個について、中国共産党(CCP)から要請があれば全面的なアクセスを提供する法的義務があると主張するレポートを発表しました。ユーザーのプライバシーが脅かされる可能性があるにもかかわらず、3か月経った今でも、ほとんどのアプリがAppleおよびGoogleのアプリストアに残っています。
人気だが危険なVPN
あなたが自分の携帯電話の活動を守るためにVPNを探していると想像してください。App Storeで19万2,000件のレビューに基づき4.7点(5点満点)の評価を受けているアプリを見つけます。最初に表示されるレビューのタイトルは「Amazing(素晴らしい)」で、「今までで最高のVPN、2016年から使っています」と書かれています。このアプリは生産性カテゴリで51位、米国App Storeで18番目に人気のVPNアプリです。ユーザーインターフェース(UI)は洗練されており、24時間年中無休のチャットサポートも提供しています。
誰が「Turbo VPN Private Browser」がQihoo 360という、中国人民解放軍(PLA)との関係により米国商務省から制裁を受けている中国企業の所有物だと見抜けるでしょうか?
つまり、これらはアプリストアの奥深くにある質の低い人気のないVPNではなく、VPNを探していればすぐに目にするようなアプリです。Turboは数百万ドル規模のアプリで、Google PlayのVPNアプリ人気トップ10にランクインしています。Appleのストアでは、Tech Transparency ProjectはTurboよりもさらに上位にランクインしている怪しい中国系VPNアプリを3つ発見しました:VPN Proxy Master、Ostrich VPN、そして4番目に人気のあるX-VPNです。
これらのアプリの多くは、複雑な企業所有構造や、英語風の名前を持つペーパーカンパニーを前面に出すことで、その本当の性質を隠しています。例えば、これらのアプリの開発者として記載されているのは「Free Connected Limited」「GeWare Technology Limited」「ALL Connected Co., Limited」(これもQihoo 360と関連)などです。
中国系であることを隠すのは有効です。なぜなら、2017年の国家情報法により、中国企業や個人は国家情報機関に協力することが義務付けられており、同法は誰のプライバシーにも広範に介入できる権限を持っています。つまり、中国政府はいつでも、どんな理由でも、アプリ開発者に対して、すべてまたは一部のユーザーデータを提供するよう要求できるのです。それは中国国外の、例えば米国の企業や個人のデータも含まれます。
もしこの法律がVPNアプリに適用された場合、これ以上に侵害的なプライバシーリスクは想像しがたいでしょう。「SNSアプリのように活動がプラットフォーム内に限定されるものと違い、VPNアプリはユーザーのすべてのオンライン活動を経由します。パスワード保護されたサイトの利用、仕事の成果物の作成、検索など、VPN利用中にユーザーが訪れるほぼすべての活動が含まれます」とTTPディレクターのケイティ・ポール氏は強調します。
中国系アプリに対するダブルスタンダード?
アプリが見た目も動作も全く普通で、何十万もの良いレビューがある場合、一般のスマートフォンユーザーがそれが怪しい中国企業にたどり着くものかどうかを見抜くことはできません。
したがって、これらのプログラムが配布されているプラットフォームを運営する企業に責任があるのかもしれません。しかし、TTPがこの問題について最初のレポートを発表してから3か月が経過した今でも、App Storeでは13個、Google Playでは11個のVPNアプリが現在も公開されたままです。
米国が中国系アプリからのプライバシー脅威にどう対応しているか、その対応に不一致があるように見えるかもしれません。「TikTokやDeepSeek AIを政府機関の端末から排除するための法案が丸ごと作られるほど、これらの単一用途プラットフォームが中国と関係していることによる国家安全保障やプライバシーリスクが問題視されています」とポール氏は指摘しますが、「VPNの脅威は、利用時に発生する活動の範囲がはるかに広い分、はるかに重大です」とも述べています。
残念ながらビッグテックに関しては、「企業が効果的なモデレーションやデューデリジェンスを行わないのは、プラットフォームの安全確保に失敗しても責任を問われる仕組みが存在しないことの表れです。ユーザーの安全確保を怠っても、規制当局も法的・民事的な影響もありません」と彼女は述べています。
「特筆すべきは、Appleがこれまで中国政府の要請で何百ものアプリを削除してきたことです。同社は製造チェーン維持のために中国政府に依存しています。これはAppleがこれらの害を抑える能力を十分に持っていることを示していますが、何らかの影響がある場合にのみ対応しているように見えます。」
Dark Readingは本件についてAppleおよびGoogleの両社にコメントを求めています。
翻訳元: https://www.darkreading.com/cloud-security/apple-google-vpn-apps-china-spy-users