世界中でプライバシー保護の切り札として普及するVPN(仮想プライベートネットワーク)アプリ。その中でも特に普及が進むAndroid向けVPNアプリの裏側で、驚くべき実態が明らかになった。最新の研究により、表向きは独立したサービスを装いながら、実際には共通の所有者に結びつき、さらにユーザーの通信を危険に晒す複数の致命的なセキュリティ脆弱性を抱えるVPNアプリ群の存在が暴かれたのだ。これらのアプリの合計ダウンロード数は7億を超えると言われており、その影響は甚大である。

AD

欺瞞のベール:人気VPNの裏に潜む巨大な影

この衝撃的な研究は、アリゾナ州立大学(ASU)と著名なサイバーセキュリティ研究機関であるCitizen Labの研究者ら、Benjamin Mixon-Baca、Jeffrey Knockel、そしてJedidiah R. Crandallの三氏によって行われ、2025年のFree and Open Communications on the Internet(FOCI)会議で発表された。彼らは、Google Playストアで最もダウンロードされたVPNアプリの中から50以上の非米国系プロバイダーに焦点を当て、綿密な調査を通じて、見かけ上は独立しているものの、裏では密接に結びついた3つの「VPNプロバイダーファミリー」を特定したのである。

問題の核心は、単なる所有権の隠蔽に留まらない。これらのアプリは共通のコード、サーバーインフラ、そして致命的なセキュリティ欠陥まで共有しており、ユーザーの通信データが第三者によって容易に復号されうる危険な状態にあるという。

三つの「ファミリー」に分類されるVPNアプリ群

研究チームは、一見すると無関係に見える多数のVPNプロバイダーを、コードの類似性やインフラの共有といった技術的証拠に基づき、三つの「ファミリー(家族)」に分類した。

  • ファミリーA: Innovative Connecting社やLemon Clove社などが提供する「Turbo VPN」「VPN Proxy Master」「Snap VPN」といった、それぞれが数千万から1億ダウンロードを誇る超人気アプリが含まれる。これらのアプリはJavaコードや共有ライブラリがほぼ同一であり、後述する致命的な脆弱性も共有していた。
  • ファミリーB: MATRIX MOBILE社などが提供する「XY VPN」「3X VPN」など、こちらも合計で数億ダウンロードに達する。このファミリーもまた、共有ライブラリや共通のVPNサーバーIPアドレスを通じて強い関連性が確認された。
  • ファミリーC: Free Connected Limited社が提供する「X-VPN」などが該当する。このグループは、DNS通信を装う独自のトンネリングプロトコルを使用しているが、その実装やコード構造が酷似しており、共通の出自を強く示唆している。

そして、これらの繋がりをさらに深く追跡すると、過去のTech Transparency Projectなどの調査でも指摘されていた中国の大手セキュリティ企業「Qihoo 360」の影が浮かび上がる。Qihoo 360は、中国人民解放軍との関連性を理由に2020年に米国政府から制裁対象に指定された企業だ。多くのアプリはシンガポール法人を名乗っているが、その実態は北京にあり、ユーザーを意図的に欺いている構図が鮮明になった。

VPNの存在意義を覆す、致命的なセキュリティ欠陥

所有権の欺瞞以上に深刻なのが、これらのアプリに共通して存在するセキュリティ上の欠陥だ。プライバシー保護というVPNの根幹を揺るがす、いくつかの致命的な脆弱性が発見されている。

1. ハードコードされた「合鍵」:Shadowsocksパスワードの共有

最も衝撃的な発見は、通信の暗号化に用いられる「Shadowsocks」プロトコルのパスワードが、アプリの内部に直接書き込まれていた(ハードコードされていた)ことだ。これは、いわば全ての部屋の鍵を一つのマスターキーで管理し、そのマスターキーの在り処を壁に書いておくようなものに他ならない。

研究者らは、アプリの実行ファイル(APK)を解析することでこのパスワードを抽出し、実際にユーザーの通信トラフィックを復号することに成功している。

このハードコードされた認証情報を使えば、攻撃者はこれらのプロバイダーの全クライアントの全トラフィックを復号できる。

研究報告書はこのように警告する。同じファミリーに属するアプリは、異なるプロバイダーを名乗りながらも同じパスワード、同じサーバーインフラを使い回している。つまり、公衆Wi-Fiなどで通信を傍受(盗聴)された場合、攻撃者はこの「合鍵」を使って、暗号化されているはずの通信内容を丸裸にできてしまうのだ。これはVPNが提供するとされるセキュリティ保証を完全に無効化する、致命的な欠陥である。

2. 時代遅れの暗号技術とプライバシー侵害

さらに、これらのアプリは複数の問題を抱えている。

  • 脆弱な暗号方式: 一部のアプリでは、2020年には非推奨となっている既知の脆弱性を持つ暗号方式「RC4-MD5」がいまだに使用されていた。これは、現代の計算能力をもってすれば解読されかねない、時代遅れの錠前を使い続けているに等しい。
  • プライバシーポリシー違反: 多くのアプリが「ログを収集しない(No-Logs)」ポリシーを掲げているにもかかわらず、実際にはユーザーのIPアドレスから推測される郵便番号などの位置関連情報を収集し、外部のサーバー(Firebaseなど)に送信していたことが確認された。これはユーザーに対する明確な裏切り行為だ。
  • 推測攻撃への脆弱性: Androidのネットワーク機能を不適切に利用しているため、「ブラインド・オンパス攻撃」と呼ばれる手法に対して脆弱であり、VPNトンネルを解読せずとも、ユーザーがどのサービスと通信しているかを第三者に推測される可能性がある。

AD

なぜ巨大企業は「別人」を装うのか?

なぜQihoo 360のような巨大企業が、これほど多くの別ブランドを立ち上げ、所有関係を隠蔽するのだろうか。研究者らはいくつかの可能性を推測しているが、複合的な戦略的意図があったと見られる。

第一に、評判リスクの分散だ。もし一つのVPNブランドで深刻なセキュリティ問題や不祥事が発覚しても、ダメージをそのブランドだけに限定し、他の多数のブランドは無傷で事業を継続できる。

第二に、市場支配力の強化だ。あたかも多くの独立した企業が競争しているかのように見せかけることで、ユーザーに「選択の自由」があるかのような幻想を与え、結果として自社グループ全体で市場シェアを寡占する。

そして第三に、コスト削減と管理の容易さだ。コードベースやサーバーインフラを全て共有すれば、開発・運用コストを劇的に抑えられる。一つのアプリを開発し、皮を被せ替えるだけで次々と新しい製品として市場に投入できるのだ。

しかし、その効率化の代償として、セキュリティという最も重要な要素が犠牲になった。共有された脆弱性は、この「クローン戦略」が生んだ必然的な帰結と言えるだろう。

我々ユーザーが自衛のためにできること

この一件は、特定のアプリだけの問題ではない。VPN市場全体の透明性の欠如と、Google Playのようなアプリストアの審査体制の限界を露呈している。ユーザーはもはや、ダウンロード数やレビューの星の数だけで安易にサービスを信頼することはできない。

では、我々はどうすれば自らのデジタルライフを守れるのだろうか。

  1. 安易な「無料VPN」を避ける: サーバーインフラの維持には多大なコストがかかる。完全に無料のVPNサービスは、広告表示、速度制限、あるいは我々のデータを販売することで収益を上げている可能性が高いことを常に意識すべきだ。
  2. 透明性を重視する: 信頼できるVPNプロバイダーは、運営会社の情報、所在地、プライバシーポリシーを明確に公開している。誰が、どこで、どのようにデータを扱っているのかが不透明なサービスは避けるのが賢明だ。
  3. 第三者による監査を確認する: 独立したセキュリティ企業による監査報告書を公開しているプロバイダーは、その信頼性が比較的高いと考えられる。「ノーログポリシー」を掲げるだけでなく、それが客観的に検証されているかを確認することが重要だ。
  4. 今回の調査で指摘されたアプリの利用を見直す: 本記事で言及されたアプリ(Turbo VPN, VPN Proxy Master, Snap VPN, X-VPNなど)を利用している場合、そのリスクを再認識し、代替サービスへの乗り換えを真剣に検討すべきだろう。

プライバシーは、一度失うと取り戻すのが極めて困難な権利だ。それを守るためのツールであるはずのVPNが、逆に脅威の入り口となってしまうこの現実は、我々一人ひとりにデジタルリテラシーの向上を強く求めているのではないだろうか。

Sources