VPNアプリの安全性

android-icon
LINEで送る
Pocket

Android VPNアプリのリスクと評価

インバウンドの増加を促進するため、様々な場所で増えているのがWiFiのフリースポット。
モバイル通信は契約プランによって通信量に上限があるので、少なめのデータ量プランであれば、フリースポットは確かに便利。
ただ、よく耳にするのが安全性の問題で、接続にロックがかかっていないため、誰でも使える反面、接続状態であれば悪意のある第三者に通信内容が傍受され、場合によっては個人情報を抜かれる可能性がある。



セキュリティベンダー「シマンテック」が発表した2017年度の「ノートン Wi-Fi リスクレポート」ではフリースポットの利用状況が記載されており、なんと国内でも70%以上の人がフリースポットでリスクのある行動をとっている実態が明らかになった。

ノートン Wi-Fi リスクレポート(PDF)link

turbovpn001

スマホやタブレットの場合は「ブラウザ」ではなく「アプリ」を使用しているケースが多いが、専用アプリの通信が暗号化されている保証はなく、アプリの説明にも記載がないため、専用アプリだから安全というわけではない。

turbovpn002

日本の高級ホテルが提供しているフリーWi-Fiが標的になり、宿泊している企業の幹部や政府の要人などがWiFiを利用した際、接続したPCが産業スパイにハッキングされているのは有名な話。

盗まれるような極秘情報を持っていなくても、クレジットカード情報やSNSなどのログイン情報を盗まれると、身に覚えのない買い物の請求が来たり、SNSが乗っ取られたり、クラウドに保存している写真が流出したりと、ろくな目に合わないので用心に越したことはない。

最も安全なのはフリースポットを使用しないこと。
ただ、それでは身も蓋も無いので、無料で対策できる手段として「VPN接続」がある。

VPNとは

VPNとは「仮想プライベートネットワーク(Virtual Private Network)」のことで、アクセスする際に暗号化というトンネルを作って接続するため、通信内容を傍受されるリスクが大幅に低減される。

最も安全な通信環境は「専用線」を引くとこで、大雑把に例えるなら「糸電話」のように、拠点から拠点までを直接つなぐため、維持費や設置費用などが半端なく高い。
専用線に対して、現在普及しているインターネットは「公衆網」と呼ばれ、公衆網は不特定多数の人が、蜘蛛の巣のように広がった線を利用し、相手を指定して接続しているため、専用線に比べると盗聴や傍受といったリスクが高い。

VPNは公衆網に仮想の専用線を引くことでセキュアな接続が可能になるため、VPNアプリを利用することでフリースポットでのリスクを低減することができるのだが、セキュリティアプリと同様に、Google Playストアで公開されている無料のVPNアプリにもリスクが存在している。

無料VPNアプリのリスク

VPNの技術は、よりセキュアな通信を確立するためのものだが、Google Play ストアで公開されている無料のVPNアプリは、アンチウィルスアプリと同様に多くのアプリがリスクを抱えており、Top10VPNは2019年2月に150件の無料VPNアプリをテストして、潜在的なリスクがあることを発表した。

Free VPN Risk Index: Android Appslink

DNSリーク(DNS漏れ)

DNS(Domain Name System)とは、IPアドレスとドメイン名を紐づけするシステムで、オンラインで行われるやり取りは、ほぼ全てDNSサーバを経由して行われており、DNSサーバのログはさながら個人情報のデータベースみたいなもの。
更に通常ISPのDNSサーバの通信は暗号化されていないため、通信が第三者に傍受されるリスクがある。

Android-ip004

有線・無線を問わず、AndroidデバイスやPCなどは、デフォルトで「IPアドレスを自動取得」するDHCP(Dynamic Host Configuration Protocol)が有効になっており、DNSサーバは契約しているISP(インターネット・サービス・プロバイダ)か、GoogleのPublic DNSサーバが設定されている。
また、DNSの箇所にデフォルトデートウェイと同じアドレスを入力すると、ISPのDNSサーバを使用することになる。

そのため契約しているプロバイダは、オンライン時のユーザーの行動を把握しており、「電気通信事業法第4条第1項の通信の秘密」でユーザーのプライバシーが保護されているとは言え、個人情報が記録されていることに変わりはない。

Android-vpn-app002

自宅であればISPのDNSサーバからCloudflareなどログを残さないPublic DNSサーバへ変更するだけで回避することもできるが、フリースポットでは使えないため、VPNによるセキュアな通信が必要になる。

問題となるのはVPNを利用して通信を暗号化している状態で、DNSトラフィックをVPNの外に送信してしまう「DNSリーク(DNS漏れ)」と呼ばれる現象。

VPNで接続された状態では、DNSクエリはVPNを提供しているプロバイダの匿名化されたDNSサーバを利用するのだが、何らかの原因でVPN接続が切断された場合、強制的にネットワークを遮断する「キルスイッチ」機能がなければ、DNSクエリはISPのDNSサーバなどに転送されてしまう。
また、フリースポットでは意図的に外部のDNSサーバへ送信するようルーターが設定されていたり、信頼度の低いVPNプロバイダではキルスイッチが無いほか、サードパーティ製のDNSサーバを利用したり、DNSリークへの対策が不完全だったりする。
しかも調査をしない限りDNSリークは表面化しないので質が悪い。

Top10VPNのテストでは、無料のVPNアプリ150件のうち、38のアプリでDNSリークが確認されている。

アクセス権限

モバイルデバイスのセキュリティでネックになるのが、アプリのアクセス権限。

android-icon

Androidアプリのアクセス権限と個人情報

プライバシーの保護で重要なAndroidアプリのアクセス権限 Androidは利用者が多いだけに、悪意のある攻撃者から標的にされやすく、Googleプレイストア … “Androidアプリのアクセス権限と個人情報” の続きを読む

Top10VPNのテストでも「危険な権限」「危険な機能」として評価されているが、これらの権限や機能は無料ゲームなどにも多く見られ、VPN本来の機能には無関係で、主に「広告」を表示するために使用されていることが多い。
無論、権限を与えてアプリを使用する以上、悪用されると個人情報が流出するリスクがある。

無料アプリの多くは、広告等による収益を目的としているため、「疑わしきは罰せず」なのか「明日は雨 他人は盗賊」と思うのか、何れにせよ過度なアクセス権限には注意が必要。

マルウェア

Google Playストアで公開されているアプリでも「潜在的な脅威」は存在しており、Easy VPN・Secure VPN・Troid VPN・Zero VPN・Proxy Master・SlowDNS・AppVPNなどのアプリから検出されている。

無料VPNアプリで発生した問題

VPNアプリはユーザーにセキュアな通信を可能にするが、そこには信頼できるVPNプロバイダーを利用することが大前提になっている。
ISP同様にVPNプロバイダーもユーザーのトラフィック情報は収集可能で、一般ユーザーにはVPNプロバイダーがデータをどのように処理しているのか全く見えない。

The impossible task of creating a “Best VPNs” list todaylink

上記は安全なVPNリストの作成が困難であることを示した記事だが、VPNアプリの比較サイトに関して、アフィリエイトリンクで埋まっているサイトが多く、信憑性に欠けることを指摘している。

Hotspot Shield VPN’s Privacy and Security Promises Contradict Practiceslink

米国に本拠を置く、非営利団体「Center for Democracy & Technology (CDT)」は、2017年にAnchorfreeが提供している「Hotspot Shield Free VPN」が、ユーザートラフィックを広告ネットワークへルーティングしていることを指摘。
当時の「Hotspot Shield Free VPN」のプライバシーポリシーも、ユーザートラフィックが保存され、第三者に開示できるという内容になっていた。
ただし、2018年6月に改定されたプライバシーポリシーでは、ユーザートラフィックは保存せず、「Hotspot Shield Free VPN」のみユーザーの位置情報が広告に使用されるなど、表記が具体的になり、以前よりもプライバシー保護が強化された内容になっている。

また、Facebookに買収されたイスラエルのソフトウェアベンダー「Onavo」は、同社が提供していた無料VPNアプリ「Onavo Protect 」を使用して送信されてきたトラフィックを分析し、その分析結果を元にFacebookが買収などの営業戦略を立てていたことが明るみに出て大きな問題になった。

FacebookのOnavoをアプリストアから削除、ユーザーデータの無断収集を処罰link

すでにGoogle Playストアからも「Onavo Protect」は削除されているが、VPNアプリがスパイウェアとして機能することを知らしめる事になった。

Hola VPN turns your PC into an exit node and sells your trafficlink

同様にイスラエルのソフトウェアベンダー「Hola」が提供している「Hola VPN」では、「Hola VPN」を使用しているユーザーを「出口ノード(最終的にサーバへアクセスするIP)」として使用していることが発覚し、VPNユーザーの帯域幅が1GBあたり20ドルで販売されていた。
出口ノードとして犯罪に利用された場合、「パソコン遠隔操作事件」のように全く覚えのない犯行の容疑者として検挙される可能性がある。

VPNプロバイダーの多くは第三機関による監査を受けていないため、プライバシーポリシーのほか、「最新プロトコルの使用」「VPNプロバイダーの企業情報と背景」「提供されている機能」などから、VPNプロバイダーが信頼するに値するか判断することになる。

Free VPN App Investigationlink

TOP10VPNは人気のある「Snap VPN」や「TurboVPN」のような無料VPNアプリの半数以上が、背景に中国企業が関係していると指摘しており、その信頼性に疑問を呈している。

信頼性の高い無料VPNアプリ

セキュリティアプリと同様、VPNも実績のある専門のベンダーがリリースしているアプリを使用するのが最も手堅い。
基本的に有料プランの機能制限版として無料版が提供されており、制限された範囲での利用になるため常用には不向きだが、DNSリーク対策、キルスイッチの実装などセキュリティ面では安心。

Android-protonvpn-icon

ProtonVPN Androidアプリの使い方

セキュアな通信が可能な無料の Android VPN アプリ 「 Proton VPN 」はスイスの VPN プロバイダ「 Proton VPN AG」が提供し … “ProtonVPN Androidアプリの使い方” の続きを読む

無料版では使用できるデバイスは1つで、P2Pは未サポート。
日本語には対応しておらず、使用できるサーバも3カ国に限定されているが、その1つが日本のため通信速度は比較的安定している。
また、データ容量の制限がなく、DNSリークの保護・キルスイッチは無料版でも有効で、ユーザーのアクティブティログも保存されない。

Android-vpn-app008

初期設定を済ませば、後はprotonVPNを起動して接続するだけなので、日本語化されていなくても特に問題はないはず。

TunelBear-icon

TunnelBear VPN Androidアプリの使い方

信頼性の高い無料のAndroid VPNアプリ 「TunnelBear VPN」は熊のキャラクターが目を引く人気アプリで、開発しているのはカナダのVPNプロバイ … “TunnelBear VPN Androidアプリの使い方” の続きを読む

クマのアイコンでお馴染みのトンネルベアは、カナダのVPNプロバイダー。
アプリは日本語化されており、VPN接続を確立する際のアニメーションなど、とにかく可愛いく仕上げてある。

サーバは22カ国にあり通信速度も比較的早く、無料版でもDNSリークの保護・キルスイッチなど有料版と同じ保護が受けられる。
ただし、TunnelBearの無料版には、月間データ上限が500MBという大きな制限がある。

TunelBear024

有料プランではデータ制限が解除されるが、無料版は「ときどきフリースポットでブラウジングする時にVPNを使う」くらいのライトユーザー向き。





Androidアプリの基礎知識

android-icon

VPNアプリの安全性

Android VPNアプリのリスクと評価 インバウンドの増加を促進するため、様々な場所で増えているのがWiFiのフリースポット。 モバイル通信は契約プランによ … “VPNアプリの安全性” の続きを読む

android-icon

Androidセキュリティアプリの信頼性

マルウェアの検出率100%のAndroidアプリは1割以下 セキュリティアプリのテストを行う独立組織「AV-Comparatives」が2019年3月に発表した … “Androidセキュリティアプリの信頼性” の続きを読む





LINEで送る
Pocket