7億超ダウンロードのVPNアプリ群に潜む深刻な脆弱性 研究者ら発表：セキュリティニュースアラート

Citizen Labらは7億超ダウンロードのVPNアプリを調査し、複数事業者間の隠れた関係と暗号鍵共有による深刻な脆弱性を指摘した。透明性確保が課題と指摘されている。

[後藤大地，有限会社オングス]

　トロント大学に所属する研究グループCitizen Labは2025年8月14日（現地時間）、アリゾナ州立大学（ASU）、ボウディン大学の研究者らと共同で執筆した論文「Hidden Links: Analyzing Secret Families of VPN Apps」を発表した。VPNアプリの提供事業者の背後関係を調査し、所有関係の不透明性やセキュリティ上の欠陥を体系的に明らかにしている。

ダウンロード数7億超のVPNアプリに潜む危険

　同研究では「Google Play」における累計ダウンロード数が7億を超えるVPNアプリ群が調査対象とされ、少なくとも3つの「ファミリー」に分類される事業者間のつながりが確認されている。Innovative Connecting、Autumn Breeze、Lemon Cloveといった事業者が同一のインフラや暗号鍵を共有している事実が突き止められている。

　論文で示された3つのファミリーと運営企業、運営企業が提供するとされているVPNアプリの一覧を次に示す。

ファミリーA

・Innovative Connecting：　Turbo VPN, Turbo VPN Lite, VPN Monster
・Lemon Clove：　VPN Proxy Master, VPN Proxy Master - Lite
・Autumn Breeze：　Snap VPN, Robot VPN, SuperNet VPN

ファミリーB

・MATRIX MOBILE PTE LTD：　Global VPN, XY VPN
・Super Z VPN（Privacy＆Proxy）：　Super Z VPN
・The Tool Tech：　Touch VPN-Stable & Secure
・Fruit Security Studios：　VPN ProMaster-Secure your net, 3X VPN - Smooth Browsing
・WILDLOOK TECH PTE. LTD.：　VPN Inf, Melon VPN - Secure Proxy VPN

ファミリーC

・FreeConnectedLimited：　X-VPN
・Fast Potato ptd ltd：　Fast Potato VPN

　これらのアプリは「Turbo VPN」や「VPN Proxy Master」「Snap VPN」などの名で公開されており、利用者は異なる提供元のサービスを選んでいるつもりでも、実際には同一の組織基盤を利用している可能性が高いことが判明している。研究者らは、アプリ内にハードコードされているShadowsocksのパスワードを確認し、これが第三者による通信傍受を容易にする深刻な脆弱（ぜいじゃく）性と指摘。実際に抽出されている暗号鍵を用いることで、利用者全体の通信を復号できることが実証されている。

　分析の過程で発見した問題は単なる暗号鍵共有にとどまらず、攻撃者が認証情報を用いてVPNネットワークの全体像をマッピングできるという、セキュリティ上の問題も含まれていた。

　研究チームは、こうした隠れた関係性とセキュリティ上の問題が、利用者に誤った安全性の印象を与えることを警告している。特にアプリ配布元がシンガポールを拠点とすると公表していながら、実際には中国企業との関連が確認される事例が存在しており、このような偽装的な運営形態が消費者の信頼を損なう大きな要因となっていると指摘している。

　研究者らは、匿名性と透明性のバランスをどのように確保するかが今後の課題だとし、利用者に誤解を与えるような情報隠蔽（いんぺい）は改善されるべきだとしている。