オーストラリア連邦科学産業研究機構(Commonwealth Scientific and Industrial Research Organisation、以下CISRO)は2017年1月25日、Android向けVPNアプリの一部にプライバシー情報漏洩リスクが存在することについてブログで注意喚起した。調査対象の18%のアプリがデータを暗号化していなかったという。
暗号やトンネリング技術を利用して、インターネットなどの公衆回線上に仮想的な専用線を構築する「VPN」(Virtual Private Network)は、AndroidをはじめとするモバイルOSにおいては特に重要な技術である。
スマートフォンなどのモバイル端末は、公衆無線LANサービスなどの盗聴リスクがある回線を使用する機会が比較的多い。そうした場合にVPNを利用することで、通信先や通信内容を秘匿できるからである。また、中国国内からTwitterを利用する場合のように、アクセス制限を回避する目的でVPNを使用することもある。
Androidは2011年10月リリースのバージョン4.0から、サードパーティー製のVPNアプリを利用可能にする「VPNクライアントAPI」を備えている。そのため、Android 4.0以降向けのVPNアプリがグーグルPlayストアに多数登録されており、その数は年々増え続けている。また、それらのアプリのうち4割弱が50万回以上インストールされているという。
283のVPNアプリを対象に調査
CISROは、こうしたVPNアプリについて、同機構のブログでユーザーに注意喚起した。
CISROによれば、グーグルPlayストアに登録されているVPNアプリのうち283個を調査した結果、18%がユーザートラフィックを暗号化しておらず、38%がマルウエアに感染、もしくはマルウエア感染リスクのある広告表示をしていたという。
CISROがブログで言及したデータは、CISROと米ニューサウスウェールズ大学(UNSW)、米国際コンピュータ科学研究所(ICSI)、米カリフォルニア大学バークレー校が2016年11月に発表した論文「An Analysis of the Privacy and Security Risks of Android VPN Permission-enabled Apps」に基づくものである。
同論文には、調査対象となるVPNアプリのソースコード解析やマルウエア検査などの静的解析結果、実際に稼働させた際の通信データの調査結果などが詳しく記載されている。例えば、150のVPNアプリを対象に通信経路にある無線LANアクセスポイントを通過する通信データを調査した結果が報告されている(表1)。
