AndroidのPlayストアやApp Storeから古い無料VPNをダウンロードするのは問題を引き起こす可能性があります。データ収集、漏洩、ログ記録などはほんの始まりに過ぎません。
WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
私たちはインターネットサービスを無料で利用することに慣れています。しかし、データ通信量や広告表示をメール、クラウドストレージ、画像最適化と引き換えに喜んで利用できたとしても、PlayストアやApp Storeから無料の仮想プライベートネットワーク(VPN)サービスを無作為に選ぶ前に、もう一度よく考えてみることをお勧めします。
VPNに接続すると、お使いのコンピュータとエンドポイントサーバーの間に暗号化されたトンネルが作成され、新しいIPアドレス(場合によっては別の国のIPアドレス)が付与されます。これにより、インターネットトラフィックがISPやローカルネットワークの管理者によって解読されることがなくなります。しかし、多くの無料VPNは期待通りに機能せず、データを漏洩したり、ユーザーを積極的にスパイしたりすることがあります。
「無料VPNモバイルアプリに関する3つの最大の脅威は、データ収集、不完全な保護、そして脆弱性につながる可能性のある開発の手抜きです」とTop10VPN.comの調査責任者、サイモン・ミリアーノ氏は語る。
Windscribe、TunnelBear、ProtonVPN などの主流の商用 VPN プロバイダーは、商用サービスのプロモーションのため、あるいは公共財として、無料層を損失リーダーとして提供していますが、データ収集や不適切な処理の報告で最も頻繁に登場する、広告資金で運営されるモバイル中心のサービスとは大きく異なります。
何が問題になるのでしょうか?
一言で言えば、非常に多くの情報です。2020年7月、香港に拠点を置くVPNプロバイダーであるUFO VPNは、ユーザーアクティビティのログを一切保存していないと主張していましたが、Comparitechの研究者によって、ユーザーログ、アクセス記録、プレーンテキストのパスワードを公開アクセス可能なデータベースに保存していることが発覚しました。
当初はセキュリティが確保されていたものの、わずか数日後にデータベースが再び公開されました。UFO VPNは当初「修復済み」と保証していましたが、Comparitechの編集者であるポール・ビショフ氏によると、ユーザーデータが再び公開された後も、UFO VPNからは連絡がないとのことです。
UFO VPNは、VPN Mentorの研究者が特定した7つの姉妹企業(いずれもDreamfii HK Limitedという会社と関連)と共に、有料および無料のVPNサービスを提供していますが、広告収入で運営されている無料VPNサービスで最もよく知られています。同社はユーザーアクティビティの「ログ記録も監視も一切ない」と主張していますが、今回の情報漏洩によってその主張は覆されました。UFO VPNは、本記事の公開時点でコメント要請に回答していません。
「無料VPNサービスはセキュリティやプライバシーポリシーが不十分な傾向があるため、読者の皆様には必ず使用しないようアドバイスしています」とComparitechのビショフ氏は付け加えます。「多くのVPNサービスは、広告収入を増やすために利用できるユーザーデータを収集しており、プライバシー保護のためにVPNを使用する目的を台無しにしています。UFO VPNは、たまたまデータを漏洩させてしまったのです。」
こうした契約に基づかないデータの保管や不適切な取り扱いがこれほど劇的に明らかになることは比較的まれですが、多くの無料モバイル VPN では、データ取り扱いポリシーが不十分であったり、まったく存在しなかったりするなど、Top10VPN による 2019 年の分析で指摘されたさまざまな問題が挙げられます。
無料VPNでもプライバシーは保証されません。ミリアーノ氏によると、設定ミスのあるVPNは、たとえIPアドレスの変更に成功したとしても、オンラインアクティビティに関する情報を漏洩させる可能性があるとのことです。「昨年、Android向けVPNのトップ150を初めてテストした際、最大25%でこうした漏洩が発生しました。その後、状況は大幅に改善したものの、その後のテストでは10社中1社で引き続き漏洩が発生しました。」
これには、Androidで5000万回以上インストールされているHola VPNも含まれます。「アプリストアにおけるVPNアプリの入れ替わりが非常に激しいことを考えると、新しいVPNが本当にISPからブラウジングアクティビティのプライバシーを守れるかどうかは、いわば運任せです」とミリアーノ氏は言います。
Top10VPN はまた、多くの無料 VPN アプリが一般的なアプリ機能を実装するために汎用のサードパーティ コンポーネントを使用しているものの、デバイスのカメラ、マイク、GPS 追跡に関連するものを含め、侵入的な権限や機能を削除できていないことも発見しました。
伐採と法律
VPNの拠点は非常に重要です。現地の法律によって、政府や法執行機関がアクセスできるデータが定められているからです。今年6月、Top10VPNは、中国または香港に拠点を置く、プライバシーとセキュリティに関する懸念のある無料VPNプロバイダーをいくつか取り上げ、サービスプロバイダーによるユーザーアクティビティログの保存を義務付ける香港のセキュリティ法の最近の改正について言及しました。
香港にはこれまでデータ保持に関する法律がありませんでした。しかし、ミリアーノ氏と彼のチームは、香港を拠点とする多くのVPNが現在、そして過去にも中国企業によって所有されていたことを発見しました。ミリアーノ氏はこの事実について、「ユーザーの閲覧データを当局と共有するなど、何らかの形で侵害されない限り、これらのアプリがどのようにして運営を継続できるのかという疑問が生じます」と述べています。
香港、英国、ロシア、アイルランドなどのデータ保持法のため、プライバシー重視のVPNプロバイダーの多くは、パナマや英領バージン諸島などの法的に本社を置いていますが、これらの国も「フォーティーンアイズ」同盟などの国際的な政府監視および情報共有協定には参加していません。
英国などの国ではデータ保持要件により、ログが法執行機関に引き渡されるようになっていますが、UFO VPN の場合に見られたように、最も法を順守している VPN ユーザーであっても、ログの存在自体がアクティビティ データが公開される可能性につながります。
ExpressVPNやPerfect Privacyなど、サーバーを押収されたにもかかわらずユーザーアクティビティログが一切開示されなかったVPN企業は、プライバシー保護の観点では最良の選択肢とみなされているのはこのためです。プライバシー重視の他のVPNプロバイダーは、法執行機関によるデータ要求を記録した透明性レポートを維持しており、ログ記録、セキュリティ、プライバシーポリシーに関する第三者監査もこの分野でますます普及しています。
データ収集
場合によっては、VPN サービスの搾取的な行為が問題となることもあり、特に VPN や情報セキュリティが通常の業務分野でない場合は、有名企業を必ずしも信頼することはできません。
Facebook(現在はVPNの提供を中止している)は、2018年に閉鎖されたOnavo Protect VPNと、2019年に閉鎖されたFacebook Research VPNで、この点で悪名高かった。どちらもユーザーに関するデータと、ユーザーがオンラインで閲覧しているものに関するデータを収集していた。
以前はプライバシー重視のVPNだったOnavoは、モバイルトラッキング情報を収集しながらブラウジング保護を約束していたが、Facebook Research VPNは明示的にアクティビティを監視し、13歳の参加者に月額20ドルを提供していた。
公開された暴露により両方のサービスは終了しましたが、2020年3月、Androidアプリ分析プラットフォームのSensor Towerが、無料のVPNアプリを使用して、ユーザーが携帯電話にインストールしたアプリに関するデータを収集していたことが発覚しました。
これらは唯一の例ではありません。2014年のTechCrunchのレポートによると、ライバルの分析会社App Annieの子会社Smart Senseが、ユーザーがインストールしたアプリのインベントリを同様に収集するVPNアプリ(現在は廃止されたVPN Defender)を開発していました。TechCrunchは、App Annie Basicsというソフトウェアレーベル(旧Distmo)も、データ収集の手段として有力な候補として挙げています。同社のアプリには、人気のAstro File ManagerやPhone Guardian Mobile Security & VPN protectionなどが含まれています。
侵入型アプリによってスマートフォンユーザーがインストールしたアプリや習慣が記録されると、この貴重な市場データは開発者、パブリッシャー、その他のアプリ公開業界関係者に販売されることになります。
何をすべきでしょうか?
セキュリティのためにVPNを使用している場合、普段利用しているISPよりも安全だとして、透明性ポリシーのない無名のサービスプロバイダーを選ぶのは賢明ではありません。実質的には、ブロードバンドを提供している会社ではなく、あなたのすべてのアクティビティを把握できる別の会社を選んでいることを忘れないでください。
米国の Netflix 視聴者が何を視聴できるかを簡単に確認するために地域を切り替えたいだけの場合でも、自分自身、自分の電話、自分の活動に関するどのようなデータを誰に提供する可能性があるかをまず正確に考えることが重要です。
プライバシーのゴールドスタンダードは、ユーザーが管理する正しく構成された VPN エンドポイントですが、これはすべてのユーザーにとって現実的ではありません。また、プライバシーを搾取しない商用 VPN サービス (無料のものも含む) も存在します。
調査は不可欠です。WIREDが厳選した最高のVPNガイドでお手伝いいたします。具体的な懸念事項がある場合は、VPNプロバイダーがそれらの懸念事項に対応していることを確認してください。透明性ページやログ記録ポリシーを確認し、過去に法的措置やセキュリティ問題にどのように対処してきたかを確認してください。
急いで無料の VPN サービスが必要な場合は、Windscribe と ProtonVPN が現在の推奨事項です。セキュリティと透明性の面で確かな実績があり、Play ストアの最も人気のあるリストやプロモーション リストからランダムに選択したものよりも優れたサービスが期待できます。
この記事はWIRED UKで最初に公開されました。
