グーグルとアップルは高リスクアプリを放置し続けている
TTPの報告によれば、特定されたVPNはいずれもアプリストア上で「無料」として配信されているが、5月のスポットチェックでは一部のVPNが「無料アプリに加えてアプリ内購入を提供している」ことも確認されたという。
テイラーはこの透明性の欠如を「私たちが無料VPNを推奨しない主な理由のひとつ」とし、世界中でコンテンツ制限が強まる中、人々が無料VPNに群がっている状況を懸念している。
ミリアーノは「真のインターネットの自由とプライバシーは透明性と信頼にかかっている。しかし明らかなプライバシー上の欠陥と不透明な企業構造が判明したにもかかわらず、グーグルとアップルは高リスクアプリをプラットフォーム上に放置し続けている」と批判する。
複雑な企業構造で真の所有権を隠す開発者への取り締まり
さらに国家安全保障上の懸念も高まっている。これらのアプリは地理的拠点や所有者が不明瞭な場合が多く、機密データを扱う組織や位置情報を特定する必要があるユーザーにとって深刻な問題となる。
APIセキュリティ企業Cequence Securityのランドルフ・バーは「敵対的な国家に結びつく開発者による所有が開示されていないVPNアプリがもたらす国家安全保障およびプライバシーリスクを軽減するため、アップルとグーグルはさらに多くの対策を講じることが可能かつ必要なのです」と警告し、アプリストアのセキュリティ強化を訴える。
バーによれば「データ保護や透明性の枠組みは存在するものの、複雑な企業構造で真の所有権を隠す開発者への取り締まりは一貫性を欠き、遅延しがちです。より厳密な審査には法的・技術的・地政学的な多大な労力が必要ですが、プラットフォームは対応を十分に拡大できていません」と述べる。その結果、他の主体が役割を担わざるを得ない空白が生まれているという。
バーが提案する軽減策は以下のとおりであり、アプリストアレベルでの対応が困難な場合は組織が実施すべきである。
・AIを活用し、インストール済みアプリのメタデータ・挙動・ネットワークトラフィックを分析することで高度なデューデリジェンスを実施する
・AIを用いて開発者の身元をマッピングし、隠れた関係を検出することで所有権の透明性チェックを強制する
・デバイス上のデータフローとストレージ挙動を監視し、外部へデータを送信する可能性のあるアプリを特定する
・インストール後にリアルタイムアプリ挙動分析を適用し、脅威を検出する
・脅威の状況変化に応じてアプリのリスクを継続的に監視・再評価する
プライバシー保護を主張しながら、これらアプリを依然として許可
セキュリティプラットフォームDeepwatchのチャド・クラグルも同様の警告を発している。「中国企業が所有し、複数のペーパーカンパニーを通じて隠蔽されている場合は深刻な懸念となります。アップルはプライバシー保護を謳いつつ、これらのアプリを依然として許可している。グーグルはどうでしょうか?」と指摘する。クラグルによれば「プラットフォームはほとんどあらゆるアプリを許可している。責任を持ち、模範を示す時でしょう。プライバシーを最優先すると主張しながら他者に運営を委ねていてはなりません。これらのアプリを適切に精査しないなら、単に許可しているだけでなく問題を助長していることになるのです。そして正直に言って、これは単なるプライバシーの問題ではなく、国家安全保障の問題なのです」と述べる。
