無料VPNには危険がいっぱい Android／iOSに情報“だだ漏れ”の深刻リスク：セキュリティニュースアラート

Zimperiumは、無料VPNアプリの多数が古い脆弱なコードや不要な権限要求、データ送信など重大な問題を抱え、通信傍受や情報漏えいの危険があると指摘した。信頼性の高い製品選定と権限確認が不可欠と警告している。

[後藤大地，ITmedia]

　Zimperiumは2025年10月2日（現地時間）、無料のモバイルVPNアプリに潜む深刻な脆弱（ぜいじゃく）性についての調査結果を発表した。分析によると、800種類あるモバイルデバイス向け無料VPNアプリのうち、相当数が利用者のプライバシー保護どころか重大な情報漏えいリスクを抱えているという。

　これらのアプリの多くが危険な挙動を示しており、不要な権限の要求や古い脆弱なコードの使用、利用者の個人データを外部に送信している実態を明らかにしている。

無料VPNの利用で情報“だだ漏れ”　Android／iOSに深刻なリスク

　Zimperiumは分析対象のアプリの中で、重大な問題を5つの主要カテゴリーに分類している。その一つが「古いライブラリーの使用」だ。調査では3つのVPNアプリ（アプリ名は公表していない）が依然として旧式のOpenSSLライブラリーを使用しており、2014年に公表されている脆弱性「Heartbleed」（CVE-2014-0160）にさらされていることが確認されている。この脆弱性は攻撃者がサーバメモリから秘密鍵や認証情報を読み取ることを可能にする。

　通信の安全性に関しても深刻な問題が確認されている。約1％のアプリが中間者攻撃（MITM）に脆弱と判定されている。これは、VPNが本来担うべき通信経路の暗号化とサーバ認証のプロセスが正しく実装されていないことを意味する。証明書検証を適切に行わないアプリでは攻撃者が偽の証明書を提示しても接続を許可してしまうため、通信内容が第三者に傍受・復号される危険がある。

　iOSアプリに関しては、Appleが義務付ける「プライバシーラベル」や「Required Reason API」といったデータ利用申告の順守状況にも問題が見られた。分析では約4分の1のアプリが有効なプライバシーマニフェストを提出していなかった。利用者にデータ収集の目的や範囲を明確に示さず、匿名性をうたうアプリの信頼性を損なう不備が確認されている。

　権限の乱用も深刻な懸念として浮上している。多くのアプリが本来の機能には不要なアクセス権限を要求していた。Androidではユーザーアカウントを操作可能にする「AUTHENTICATE_ACCOUNTS」や、システム全体のログを閲覧できる「READ_LOGS」といった危険な権限を要求する例が確認されている。

　これらの権限を悪用すれば、他のアプリの認証情報や利用履歴の収集が可能となり、事実上のキーロガーとして機能する可能性がある。iOSでも「LOCATION_ALWAYS」（常時位置情報の取得）や「USE_LOCAL_NETWORK」（ローカルネットワーク上のデバイス検出）といったVPNアプリには不要な権限を求める例が見つかっている。これらのアクセスは利用者の移動履歴や家庭内機器の構成情報を追跡する手段となり得る。

　iOSアプリの約6％が「プライベートエンタイトルメント」を要求していた。この種の特権的な権限は通常、Apple純正アプリのみが利用できるものであり、第三者アプリが要求すること自体が危険だ。これを利用すれば、アプリはシステムレベルのコマンド実行やメモリアクセスを行うことが可能となり、認証情報の奪取や不正な権限昇格につながる恐れがある。

　Zimperiumはこれらの問題が、個人利用だけでなく企業環境にも深刻な影響を及ぼす可能性があると指摘している。私有端末を業務利用するBYOD環境では従業員がインストールした不適切なVPNアプリが企業ネットワーク全体の弱点となる可能性がある。暗号化が不完全な通信経路や過剰な権限を持つアプリを経由して、社内データや顧客情報が外部へ漏えいする危険性がある。

　同社は報告の中で、VPNを利用する際には信頼性の高い製品を選定し、アプリの更新頻度や権限設定を慎重に確認する必要があると警告している。無料で提供されているサービスの中には、広告収益やデータ収集を目的としたものが多く含まれており、実際には「プライバシー保護」とは真逆の結果を生んでいる場合がある。VPNが本来果たすべき「通信の安全化」という役割を担うには、利用者側の選択および監視が不可欠としている。