Google Playで配信されているVPNアプリの84%でデータ漏えい? その恐るべき理由Computer Weekly

Google公式ストアの「Google Play」で配信されているVPNアプリの84%が、データを漏えいしているという。18%は暗号化すらしていない。この背後には、恐ろしい理由があった。

» 2017年04月19日 10時00分 公開
[David McClellandComputer Weekly]
Computer Weekly

 優秀であることがあだになったのか、「Google Play」で配布されているVPN(仮想プライベートネットワーク)アプリを使うと、保護されるどころかデータ漏えいのリスクがかえって高まる危険性があることが判明した。

Computer Weekly日本語版 4月19日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 4月19日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 オーストラリア政府の研究機関であるオーストラリア連邦科学産業研究機構(CSIRO)は、米カリフォルニア大学バークリー校およびオーストラリアのニューサウスウェールズ大学と共同で、AndroidネイティブのVPN接続許可機能を使用するAndroidアプリ283点を対象とした調査を実施し、以下の実態を特定した。

  • 18%は暗号化通信を利用していない
  • 84%でユーザーのデータ漏えいが認められた
  • 38%にマルウェアや悪質なWeb広告へのリンクが含まれていた
  • 80%は、ユーザーアカウントやメールの本文など、端末にある機密性の高い情報へのアクセス許可を要求している

 非公式のAndroidアプリストアで配布されているアプリがマルウェアに感染しており、好ましくない動作をするという話は今に始まったことではない。ところが、公式のアプリストアに収録されているアプリでもプライバシー保護やセキュリティ面に不具合がある可能性が高いとなると、Googleはもちろんのこと、インターネット利用の安全性は保証されているという前提で(公式アプリストアを利用している)Androidユーザーにとっても懸案事項となる。

 VPNアプリの普及が進んでいるが、普及率の上昇に伴ってホテル、空港、コーヒーショップなどで提供されている公衆Wi-Fiネットワークには中間者(MITM)攻撃のリスクがあるという認識も広がってきている。また、VPNを使えば地理的な制限を回避し、特定の地域限定で配信されるオンラインコンテンツにアクセスできるということも同様に広く知られている。最近は、むしろこちらの機能がVPNアプリ普及の要因となっているといえる。

危険なアプリ

 セキュリティ専門のブロガー、グレアム・クルーリー氏は、本誌Computer Weekly内ブログ「Inspect-a-Gadget」のインタビューに応えて、「Googleには、アプリストアに収録する際の精査をもっと徹底してもらいたい」と話す。「Androidベースのマルウェアの大半は、サードパーティーのアプリストアで配布されたものだというのは周知の事実だが、Google Playにこっそり潜り込んだ、危険なアプリが発見される頻度が高すぎる。Googleも近年セキュリティに力を入れるようになり、状況は幾分改善されている。だが、今のところはまだAppleのレベルに追い付いていない」

 Google Playで取得できるアプリだから安全だとは言い切れないことについて、もう少し詳しく説明するとしたら?

 「VPNアプリをインストールしたからといって、アプリストアの製品紹介に書かれていた通りの機能を提供してくれると思うのは大間違いだ」と、クルーリー氏は付け加える。「あらかじめ見当を付けていたアプリに決めるのではなく、信頼できるプロバイダーが開発した、定評のある製品を探すことを勧める」

 CSIROのレポートでは、テスト結果の生データや対象としたVPNアプリの名称は公開していないが、特に深刻な問題が見つかったものもあったと強調している。また、このレポートには、テストの結果、テスト対象になったアプリの一部がアプリストアから削除されたこと、その理由はCSIROの研究者がアプリの開発者にテスト結果を報告したから、またはGoogleがアプリストアの社内調査を実施したからのいずれかであろうという記述もある。

 ただしクルーリー氏は、Android以外のプラットフォームの管理者も人ごとと思わない方がいいと警告する。「VPNのユーザーは全員、万一に備えて使用中の製品に問題がないかどうかを確認するに越したことはない。これはAndroidだけの問題ではない。iOS、Mac、PCのいずれも似たような状況だ」

正規製品の「劣化コピー版」の存在

 Inspect-a-Gadget編集部は、レポートで暗に示唆されているVPNアプリの一部の開発者たちに連絡を取ったところ、まずCyberGhostから次のコメントが返ってきた。

 「当社製品の海賊版で、ひどい品質のものが一部に出回ったおかげで、当社および当社製品の評判は傷ついている。そうした偽アプリは、当社のブランド、ロゴ、社名、果てはUIのルック&フィールまでそっくり正規品をコピーしている。これは事実だ。とりわけGoogle Playに存在する偽アプリは目立つ」と同社の広報担当者は回答した。「われわれはGoogleに連絡し、この問題の解決に努めているし、努力は今後も継続する。もっとも、これまでのところ、われわれの施策が全て成功したとは言えないが」

 アプリ開発者に対して、(Googleが)もっとひどい対応をしているという話も聞こえてきており、Google Playに収録する際の審査プロセス自体がアプリ開発者の信頼を失いつつあるようだ。

 「Google傘下のウイルスチェックサービス『VirusTotal』については、われわれが製品の最新バージョンをリリースした直後の数日間は、一部のアンチウイルス製品が『CyberGhostにマルウェアが潜んでいる可能性がある』と報告する場合があることを覚えておいてほしい」と、先述のCyberGhost広報担当者は話を続ける。「仮に今、当社製品に対してVirusTotalチェックを実行すれば、CyberGhostは完璧にクリーンだということが理解していただけるだろう」

 製品自体の防御策が堅牢(けんろう)になれば、ユーザーがダウンロードするアプリも総体的にクリーンになる。ことデータの保護に関して言えば、アプリストアのレビューや評価、(開発者が提供している)製品の機能一覧の情報だけを頼りにアプリを選ぶのは危険な行為だ。

別冊Computer Weekly 次世代のサーバOS(転載フリー版)も公開中!

サーバOSにも変化の波が押し寄せている。ストレージやネットワークといったリソース、セキュリティを管理するだけの存在が、新たに要求されている役割とは何か。

※本PDFは、TechTargetジャパン会員でなくても無料でダウンロードできます。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ