基本的に、ほとんどのインターネット通信は暗号化されているため、VPN側が通信の内容を直接読み取ることは困難だ。しかし、もしVPNが不正なコードを仕込んでいれば、認証情報のフィッシングやトラフィックの誤誘導が可能になる。また、位置情報とオンライン活動の組み合わせが漏洩した場合、地域によっては大きな危険を招くおそれがある。
こうした中、Tech Transparency Project(TTP)は「数百万人の米国人が、自覚のないままインターネット通信を中国企業に送っている。その中には中国人民解放軍と関係のある企業も含まれる」と警告した。特に深刻なのは、「複数のアプリがQihoo 360につながっている」という点だとされる。同社は軍事関連の疑いで米国からブラックリストに掲載されているが、報道に対してコメントしていない。
これらのVPNはユーザーのIPアドレスやウェブ上の活動を把握し、保存できる可能性がある。現時点でマルウェアの拡散や認証情報などのデータ収集が行われているといった具体的な指摘はないが、TTPは「中国企業は、取得したデータを何であれ中国の国家安全法の下で中国政府に引き渡す義務がある」と警鐘を鳴らしている。
TTPの調査によれば、人気の無料VPNのうち最大20%が「中国企業によって密かに所有されていた」という。さらに、いくつかのVPN開発企業は「複数のオフショア企業を介した複雑な構造」を使って所有形態を隠蔽していたとされる。TTPが公表している中国系VPNおよびその所有関係の詳細リストは同団体のサイトで確認できる。
軍事的なつながりは大きな話題になりがちだが、実際には公式ストア・非公式ストアを問わず悪意のある無料VPNを仕かける攻撃者によるリスクのほうが深刻である場合も多い。結論は変わらない──無料VPNは絶対に使用してはならない。
