【ITニュース解説】Researchers find alarming overlaps among 18 popular VPNs

最近、Google Playストアで非常に人気のあるVPNアプリの一部に、利用者のプライバシーとセキュリティを脅かす可能性のある「隠された繋がり」と「深刻な脆弱性」が存在することが、ある新しい研究によって明らかになった。この研究は、システムエンジニアを目指す皆さんにとっても、今後のサービス設計やセキュリティ対策を考える上で重要な示唆を与えている。

この調査は、インターネット上のプライバシー技術に関する専門誌であるPETSに掲載された「Hidden Links: Analyzing Secret Families of VPN apps」と題された論文で発表されたものだ。Androidデバイスだけで合計7億回以上ダウンロードされている上位100種類のVPNアプリの中から、18種類ものアプリが、互いに独立したプロバイダであると主張しながら、実際には3つの大きなグループ、つまり「ファミリー」に秘密裏に属していることを突き止めた。もちろん、この調査対象には、信頼性の高い「ベストVPN」として評価されているアプリは含まれていないものの、広く利用されているアプリが多数含まれている点は見過ごせない。

研究のきっかけは、VPN Proによる先行調査で、いくつかのVPN企業が、関連性を明かさずに複数のアプリを販売している実態が明らかになったことにある。これを受け、「Hidden Links」の研究者たちは、こうした秘密裏に共同所有されているVPN間の関係を、より体系的に文書化できるのではないかという問いから調査を開始した。

調査は、Androidで最もダウンロードされているVPNのリストから始められ、各VPNアプリのビジネスに関する書類、インターネット上での情報、そしてプログラムの「コードベース」といった多角的なデータが収集された。コードベースとは、アプリがどのように動作するかを定義するプログラムの設計図のようなもので、システムエンジニアにとっては最も重要な情報源の一つだ。研究者たちは、主にこのコードの中に潜む不審な類似点を特定することで、最終的に18種類のVPNアプリを3つのファミリーに分類することに成功した。

最初のグループである「ファミリーA」には、Turbo VPN、VPN Monster、VPN Proxy Masterといった8つのアプリが含まれていた。これらのアプリは、Innovative Connecting、Lemon Clove、Autumn Breezeという3つのプロバイダによって共有されていることが判明した。さらに注目すべきは、これら3つのプロバイダが、すべて中国本土に拠点を置く「Qihoo 360」社と関連があることだ。Qihoo 360は、米国の国防総省によって「中国軍関連企業」に認定されている企業であり、この事実だけでも、ユーザーにとっては大きな懸念材料となるだろう。

次に「ファミリーB」には、Global VPN、XY VPN、Touch VPNなど8つのアプリが分類された。これらは5つの異なるプロバイダによって提供されていたが、いずれのアプリも全く同じ「IPアドレス」を使い、同じ「ホスティング会社」のサーバーを利用していることが明らかになった。IPアドレスはインターネット上の住所のようなもので、ホスティング会社はアプリのデータを保存し、インターネット上に公開するサービスを提供する企業を指す。異なるプロバイダが同じインフラを利用しているにもかかわらず、その関係を明かさないことは、透明性の欠如を示している。

そして最後の「ファミリーC」は、X-VPNとFast Potato VPNの2つのアプリで構成されていた。これらのアプリはそれぞれ異なるプロバイダから提供されているが、研究者たちは両者が非常に似たプログラムコードを使用し、さらに共通の「カスタムVPNプロトコル」を採用していることを発見した。カスタムVPNプロトコルとは、VPN通信を行うための独自のルールや仕組みのことで、異なるプロバイダが同じ独自技術を使用している場合、そこには隠れた関係性がある可能性が高い。

この研究がVPN利用者、そしてシステムエンジニアを目指す皆さんにとって懸念すべき理由は大きく分けて二つある。一つ目の問題は、利用者のプライベートな活動や個人データという非常に機密性の高い情報を預かる企業が、その企業がどこに拠点を置いているのか、誰が所有しているのか、そして誰と利用者の機密情報を共有している可能性があるのかについて、正直な情報を提供していないことだ。たとえアプリ自体に技術的な欠陥が一切なかったとしても、これはユーザーとの信頼関係を根底から裏切る行為であり、企業倫理の観点からも非常に深刻な問題だ。

しかし、残念ながら、これらのアプリは技術的に完璧であるとは言えないどころか、深刻な問題を抱えていることが二つ目の懸念点となる。これら3つのファミリーに属する計18種類のVPNアプリすべてが、「Shadowsocksプロトコル」と呼ばれる通信方式を「ハードコードされたパスワード」と共に使用していることが判明した。Shadowsocksプロトコルは、インターネット検閲を回避する目的などで使われることがあるが、ここで問題となるのは「ハードコードされたパスワード」だ。これは、パスワードがアプリのプログラムコード内に直接埋め込まれている状態を指し、セキュリティ上非常に危険である。パスワードが固定されているため、悪意ある攻撃者がそれを特定すれば、容易にアクセスを許してしまう可能性がある。

この脆弱性により、これらのVPNアプリは、「サーバー側」と「クライアント側」の両方からの攻撃に対して無防備であることが指摘されている。サーバー側からの攻撃とは、VPNサービスを提供しているサーバー自体が悪意ある者に乗っ取られることを意味し、これによってユーザーのデバイスに「マルウェア」（悪意のあるソフトウェア）が送り込まれる可能性がある。一方、クライアント側からの攻撃とは、ユーザーのデバイス上で動作しているVPNアプリが攻撃の標的となることで、ユーザーのウェブ閲覧活動が「盗聴」されたり、通信内容が改ざんされたデータに置き換えられたりする危険性があるのだ。具体的には、ユーザーがどのウェブサイトを閲覧したかという情報が露呈したり、受け取るべき情報が攻撃者によって不正に書き換えられたりする可能性がある。

結局のところ、VPNプロバイダがその背景情報を不正直に隠していることと、VPNクライアントアプリがずさんな、つまり不十分なインフラストラクチャの上で動いていることは、根本的に同じ問題の症状であると言える。それは、これらのアプリが「オンライン上での利用者の安全を確実に守る」こと以外の目的で設計されている可能性が高いということだ。また、これら18種類のアプリがそれぞれ無関係な製品としてGoogle Playストアに掲載されていたという事実は、アプリストア自体が利用者をセキュリティの脅威から守る上で、必ずしも効果的な防御ラインではないことを明確に示している。

この「Hidden Links」の研究論文は、私たちが無料VPNをダウンロードする際には、まず徹底的な「ベッティング」、つまり事前調査と評価を行うことがいかに不可欠であるかを強く訴えかけている。そして、もし無料VPNを利用するのであれば、Proton VPNのように、有料のサブスクリプションによって運営がサポートされており、それによって品質やセキュリティの維持が保証されているような、信頼できるサービスを選ぶべきだという重要な教訓を与えてくれている。システムエンジニアを目指す皆さんは、将来、サービスの設計や開発に携わる際、ユーザーの信頼とセキュリティを最優先に考えることの重要性を、この事例から深く学ぶことができるだろう。