莫大な数のAndroidおよびiPhoneユーザーが、無料でインストールしたVPNアプリによって深刻なリスクにさらされていると警告されている。こうしたユーザーは、中国政府の管理下にある企業へ機密データを送信している可能性があるのだ。
先日、私は技術透明性プロジェクト(TTP)が発表したiPhoneおよびAndroid用アプリのリストを報告した。これらはいずれもVPNアプリで、本来はユーザーの安全性とセキュリティを高めるはずのものだが、まさにその逆をもたらしているのだ。
TTPは「数百万のアメリカ人が、自らのインターネットトラフィックを密かに中国企業にルーティングするアプリをダウンロードしている」と指摘している。4月にも同様の脅威を報告していたTTPは、現在も「アップルおよびグーグルのアプリストアでは、アプリ特定から6週間を経過した今もなお、中国企業が密かに所有するプライベートブラウジングアプリを提供し続けている」と述べている。
「リスクがあまりに大きい」アプリの削除を促す警告があいつぐ
この報告を受け、各所からユーザーにアプリの削除を促す警告があいついでいる。VPNレビューサイトTop10VPNsのサイモン・ミリアーノは「リスクがあまりに大きいので、これらのアプリをスマホに残しておくべきではありません」と警鐘を鳴らし、「今回の発見を踏まえ、ユーザーには中国企業所有のVPNを完全に避けることを強く推奨します」と語っている。
グーグルは「当社は適用される制裁および貿易コンプライアンス法規を順守することにコミットしています。これらの法律、関連ポリシー、または利用規約に違反する可能性があるアカウントを確認した場合、適切な対応を行います」とコメントした。アップルも同様の立場を表明し、App Storeの規則を施行しているが、開発者の所在地によって扱いを変えてはいないという。ただしVPNについては、第三者へのデータ共有を禁じていると述べている。
VPNレビューサイトvpnMentorのリサ・テイラーは「驚きはありません。中国は通常、法的な建前の裏で他国の市民の個人情報を得るためにさまざまな手法を用いており、無料VPNはそうした活動を隠すのに絶好のカモフラージュになります」と説明し、「たとえ利用規約で記録しないと謳われていても、実際にはユーザーのアクティビティを収集していることが多いのです」と指摘する。
セキュリティソリューションプロバイダBeyondTrustのジェームズ・モードも同意見だ。「製品に対して料金を支払っていないということは、あなた自身が製品なのです。これらのVPNサービスは、無料アプリに潜む隠れたコストの典型例です。オンラインのプライバシーを求めるユーザーが、地元のカフェのWi-Fiに監視されるのではないかという恐れから、知らず知らずのうちに外国の国家にデータを提供してしまっている可能性があるのです」と述べている。
ソフトウェア解析ツールBlack Duckのヴィジェイ・ディルワレは、TTPの報告を「プライバシー保護を謳うVPNが、真の所有者を隠蔽したまま提供されることで、非常に深刻なセキュリティリスクをもたらすという厳しい警鐘です」と評し、「これらのアプリは全ユーザートラフィックにアクセス可能で、中国拠点の組織が扱えば個人のプライバシーを超えた影響が生じます」と警告している。
