- 多くの無料VPNはスパイウェアのように動作し、機密性の高いユーザー情報を収集しています
- いくつかのアプリは権限を悪用し、プライバシーツールを追跡システムに変えています
- VPN開発者は、過剰なアクセスを誤解を招くセキュリティ説明で正当化することがよくあります
無料VPNアプリの人気が高まる中、モバイルユーザーにとって手軽なプライバシー対策となっています ― しかし、新たな証拠は、これらのアプリの多くが約束とは逆のことをしている可能性を示唆しています。
Zimperium zLabsの調査によると、Android向け無料VPNやiOS向け無料VPNの多くが、過剰な権限を要求し、古いコードを使用し、ユーザーを監視レベルのリスクにさらしている可能性があると主張しています。
調査結果の規模にもかかわらず、報告書ではどのアプリが関与しているかは明かされておらず、ユーザーは最良の無料VPNサービスだと信じるものを選ぶ際、自身の注意に頼るしかありません。
VPNアプリはネットワークトラフィックを暗号化し保護するはずですが、分析された多くのアプリはこの目的に反する行動を示しています。
一部はAndroidの「READ_LOGS」権限を要求し、これによりシステム全体の活動を閲覧でき、ユーザー名やパスワード、個人メッセージにアクセスできる可能性があります。
この機能により、事実上スパイウェアとなり、キーロギングやモバイル脅威検出の回避が可能になります。
他のアプリはiOSの「LOCATION_ALWAYS」などの権限を求め、24時間のGPS追跡を許可し、ユーザーの動きを継続的に監視できるようにしています。
これらの権限はVPNとして正当な用途がなく、トラフィックデータと組み合わせることで、個人のオンライン・オフラインの詳細な行動プロファイルを作成できます。
Zimperiumの分析では、多くの無料VPNアプリが「プライベートエンタイトルメント」を要求しており、これによりデバイスのオペレーティングシステムへの深いアクセスが可能になります。
このような特権により、アプリはコードの実行、機密データの抽出、デバイスの制御を得ることができ、深刻なプライバシーおよびセキュリティリスクを生み出します。
一部のアプリは2014年のHeartbleedバグに依然として脆弱な古いOpenSSLライブラリを使用しており、多くの開発者が基本的なパッチ適用すら怠っていることが示されています。
また、証明書の検証が適切に行われておらず、本来安全であるはずの通信が中間者攻撃によって傍受される危険性もあります。
研究者はまた、「USE_LOCAL_NETWORK」などの権限を要求するVPNアプリも発見しました。
これにより、Wi-Fiネットワーク上の近くのデバイスをマッピングでき、セキュリティソフトよりもマルウェアに適した機能となっています。
開発者はこのようなアクセスを「接続トラブルシューティングの改善」と主張して正当化することがありますが、実際にはデバイススキャンやネットワーク偵察が可能になります。
複数のアプリはスクリーンショットの取得も可能で、画面上に表示されているユーザーデータが漏洩する恐れがあります。
このようなリスクを持つVPNが何百も存在する中、安全なツールと危険なツールの違いは極めて重要です。
残念ながら、ZimperiumはこれらのVPNのリストを共有することを拒否したため、ユーザーは無料VPNを利用する際には懐疑的な姿勢が必要です。
また、独立監査を受けている、プライバシーポリシーを明確に開示している、侵入的な権限を避けているプロバイダーを選ぶべきです。
