Android版 VPNアプリの安全性

LINEで送る
Pocket

インバウンドの増加を促進するため、様々な場所で増えているのがWiFiのフリースポット。
モバイル通信は契約プランによって通信量に上限があるので、少なめのデータ量プランであれば、フリースポットは確かに便利。
ただ、よく耳にするのが安全性の問題で、接続にロックがかかっていないため、誰でも使える反面、接続状態であれば悪意のある第三者に通信内容が傍受され、場合によっては個人情報を抜かれる可能性がある。



セキュリティベンダー「シマンテック」が発表した2017年度の「ノートン Wi-Fi リスクレポート」ではフリースポットの利用状況が記載されており、なんと国内でも70%以上の人がフリースポットでリスクのある行動をとっている実態が明らかになった。

ノートン Wi-Fi リスクレポート(PDF)

スマホやタブレットの場合は「ブラウザ」ではなく「アプリ」を使用しているケースが多いが、専用アプリの通信が暗号化されている保証はなく、アプリの説明にも記載がないため、専用アプリだから安全というわけではない。

日本の高級ホテルが提供しているフリーWi-Fiが標的になり、宿泊している企業の幹部や政府の要人などがWiFiを利用した際、接続したPCが産業スパイにハッキングされているのは有名な話。

盗まれるような極秘情報を持っていなくても、クレジットカード情報やSNSなどのログイン情報を盗まれると、身に覚えのない買い物の請求が来たり、SNSが乗っ取られたり、クラウドに保存している写真が流出したりと、ろくな目に合わないので用心に越したことはない。

最も安全なのはフリースポットを使用しないこと。
ただ、それでは身も蓋も無いので、無料で対策できる手段として「VPN接続」がある。

VPNとは

最も安全な通信環境は「専用線」を引くとこで、大雑把に例えるなら「糸電話」のように、拠点から拠点までをつなぐため、維持費や設置費用などが半端なく高い。
専用線に対して、現在普及しているインターネットは「公衆網」で、「線」から「網」になっているように、蜘蛛の巣のように広がった線を利用し、相手を指定して接続する方法になる。
公衆網は不特定多数の人が利用しているため、専用線に比べると盗聴や傍受といったリスクが高く、「https」など暗号化されたセキュアな接続でなければ、簡単に通信内容を盗まれてしまうリスクがある。

セキュアな接続はサイト側の設定が必要で、アクセスするユーザー側での操作や選択はできないが、VPNを利用することでユーザー側で接続を暗号化することが可能になる。

VPNとは「仮想プライベートネットワーク(Virtual Private Network)」のことで、公衆網に仮想の専用線を引く技術。
アクセスする際に暗号化というトンネルを作って、まずVPNサーバにアクセスし、そこから目的の接続先へアクセスするので、通信内容を傍受されるリスクが大幅に低減される。

では、フリーWi-Fiのリスクを低減するため、Google Playストアで公開されている無料のVPNアプリを使用すれば良いのかというと、無料VPNアプリにもリスクが存在することが判明している。

無料VPNアプリのリスク

VPNの技術は、よりセキュアな通信を確立するためのものだが、Google Play ストアで公開されている無料のVPNアプリは、アンチウィルスアプリと同様に多くのアプリがリスクを抱えている。

Free VPN App Investigation

Top10VPNが2018年12月に公開した記事では、人気のある無料VPNアプリで、アプリに表記されている会社のバックに中国企業があると伝えている。
ただ、中国企業と関連している可能性が高いとは言え、確証は取れておらず、「中国企業=悪」という図式が前提。

確かにプライバシーポリシーが曖昧な点などは懸念材料にはなるものの、それを中国企業と結びつけて情報漏えいのリスクが高くなるというシナリオは、陰謀論のようで些か強引な気がしないでもない。

Free VPN Risk Index: Android Apps

Top10VPNは2019年2月に150件の無料VPNアプリをテストして、潜在的なリスクがあることを発表した。

DNSリーク(DNS漏れ)

DNS(Domain Name System)とは、IPアドレスとドメイン名を紐づけするシステムで、オンラインで行われるやり取りは、ほぼ全てDNSサーバを経由して行われており、DNSサーバのログはさながら個人情報のデータベースみたいなもの。
更に通常ISPのDNSサーバの通信は暗号化されていないため、通信が第三者に傍受されるリスクがある。

有線・無線を問わず、AndroidデバイスやPCなどは、デフォルトで「IPアドレスを自動取得」するDHCP(Dynamic Host Configuration Protocol)が有効になっており、DNSサーバは契約しているISP(インターネット・サービス・プロバイダ)か、GoogleのPublic DNSサーバが設定されている。
また、DNSの箇所にデフォルトデートウェイと同じアドレスを入力すると、ISPのDNSサーバを使用することになる。

そのため契約しているプロバイダは、オンライン時のユーザーの行動を把握しており、「電気通信事業法第4条第1項の通信の秘密」でユーザーのプライバシーが保護されているとは言え、個人情報が記録されていることに変わりはない。

自宅であればISPのDNSサーバからCloudflareなどログを残さないPublic DNSサーバへ変更するだけで回避することもできるが、フリースポットでは使えないため、VPNによるセキュアな通信が必要になる。

問題となるのはVPNを利用して通信を暗号化している状態で、DNSトラフィックをVPNの外に送信してしまう事があり、この現象がDNSリーク(DNS漏れ)と呼ばれている。

VPNで接続された状態では、DNSクエリはVPNを提供しているプロバイダの匿名化されたDNSサーバを利用するのだが、何らかの原因でVPN接続が切断された場合、強制的にネットワークを遮断する「キルスイッチ」機能がなければ、DNSクエリはISPのDNSサーバなどに転送されてしまう。
また、フリースポットでは意図的に外部のDNSサーバへ送信するようルーターが設定されていたり、信頼度の低いVPNプロバイダではキルスイッチが無いほか、サードパーティ製のDNSサーバを利用したり、DNSリークへの対策が不完全だったりする。
しかも調査をしない限りDNSリークは表面化しないので質が悪い。

Top10VPNのテストでは、無料のVPNアプリ150件のうち、38のアプリでDNSリークが確認されている。

アクセス権限

モバイルデバイスのセキュリティでネックになるのが、アプリのアクセス権限。

Androidアプリのアクセス権限と個人情報

Androidは利用者が多いだけに、悪意のある攻撃者から標的にされやすく、Googleプレイストアで公開されているアプリ … “Androidアプリのアクセス権限と個人情報” の続きを読む

Top10VPNのテストでも「危険な権限」「危険な機能」として評価されているが、これらの権限や機能は無料ゲームなどにも見られるもので、VPN本来の機能には無関係で、主に「広告」を表示するために使用されていることが多い。
無論、権限を与えてアプリを使用する以上、悪用されると個人情報が流出するリスクがある。

無料アプリの多くは、広告等による収益を目的としているため、「疑わしきは罰せず」なのか「明日は雨 他人は盗賊」と思うのか、何れにせよ過度なアクセス権限には注意が必要。

マルウェア

Google Playストアで公開されているアプリでも「潜在的な脅威」は存在しており、Easy VPN・Secure VPN・Troid VPN・Zero VPN・Proxy Master・SlowDNS・AppVPNなどのアプリから検出されている。

信頼性の高い無料VPNアプリ

セキュリティアプリと同様、実績のある専門のベンダーがリリースしているアプリが優秀。
基本的に有料プランの機能制限版として無料版が提供されており、制限された範囲での利用になるため常用には不向きだが、DNSリーク対策、キルスイッチの実装などセキュリティ面では安心。

 ProtonVPN

protonVPNはスイスのVPNブロバイダ ProtonVPN AGが提供しているアプリ。

無料版では使用できるデバイスは1つで、P2Pは未サポート。
日本語には対応しておらず、使用できるサーバも3カ国に限定されているが、その1つが日本のため通信速度は比較的安定している。
また、データ容量の制限がなく、DNSリークの保護・キルスイッチは無料版でも有効で、ユーザーのアクティブティログも保存されない。

初期設定を済ませば、後はprotonVPNを起動して接続するだけなので、日本語化されていなくても特に問題はないはず。

 TunnelBear

クマのアイコンでお馴染みのトンネルベアは、カナダのVPNプロバイダー。
アプリは日本語化されており、VPN接続を確立する際のアニメーションなど、とにかく可愛いく仕上げてある。

サーバは22カ国にあり通信速度も比較的早く、無料版でもDNSリークの保護・キルスイッチなど有料版と同じ保護が受けられる。
ただし、TunnelBearの無料版には、月間データ上限が500MBという大きな制限がある。

有料プランではデータ制限が解除されるが、無料版は「ときどきフリースポットでブラウジングする時にVPNを使う」くらいのライトユーザー向き。





Androidアプリの基礎知識

Android版 VPNアプリの安全性

インバウンドの増加を促進するため、様々な場所で増えているのがWiFiのフリースポット。 モバイル通信は契約プランによって … “Android版 VPNアプリの安全性” の続きを読む

Android版 セキュリティアプリの信頼性

セキュリティアプリのテストを行う独立組織「AV-Comparatives」が2019年3月に発表した「Android T … “Android版 セキュリティアプリの信頼性” の続きを読む





LINEで送る
Pocket