ニュース

Android用“VPNアプリ”の18%で暗号化が行われず、16%は家庭向け回線でホスト

 Google Playで提供され、無料で入手できる283のVPNアプリを調査した研究論文が発表された。うち18%のVPNアプリでは、実際にはトンネリングの暗号化を行っていなかったという。

 研究論文は、オーストラリア連邦科学産業研究機構(Commonwealth Scientific and Industrial Research Organisation:CSIRO)と、米国ニューサウスウェールズ大学(UNSW)およびカリフォルニア大学バークレー校によるもの。各VPNアプリのソースコードと、ネットワーク上での動作を分析した。

 2011年10月リリースのAndroid 4.0以降では、ネイティブサポートされているVPNサービスクラスを利用して、アプリ開発者がVPNを提供できるようになったことで、VPNアプリの数は増加を続けている。

 283のVPNアプリのうち、130アプリが無料で、153アプリは有料でVPN接続を利用できるものだった。全体の67%のアプリはプライバシーとセキュリティの強化をうたっており、37%は50万回以上インストールされていた。また、55%のアプリがレビューで4点以上のレーティングを獲得していた。

 しかし、全体の18%のVPNアプリでは、実際にはトンネリングの暗号化を行っていなかった。また、16%は家庭向けネットワークでホストされていた。さらに、4%はローカルホストのトラフィックを傍受していたという。

 このほか、84%のアプリではIPv6トラフィックが、66%のアプリではDNSクエリが漏えいしていた。

調査に用いたネットワークの構成

 オンラインのマルウェアスキャンサービス「VirusTotal」を利用した調査では、82%のアプリにおいて、ユーザーアカウントやテキストメッセージといった個人情報データへのアクセス権限を要求することが分かった。

 そのうち67%のアプリで、サードパーティー製のトラッキング用ライブラリが使用されており、うち一部のアプリでは、開発者が売却目的で個人情報を収集していた。また、38%にはマルウェアが含まれていたという。

 調査に参加したCSIROのMohamed Ali Kaafar氏は「ダウンロードしたアプリが要求する権限には常に注意が必要だ。調査によると、特にVPNアプリのユーザーには、アプリが要求する権限の問題が深刻で、こうしたアプリを使用する場合の重大なリスクを時間をかけて学ぶ必要がある」と述べている。