Malwarebytesは4月3日(米国時間)、「Popular VPNs are routing traffic via Chinese companies, including one with link to military|Malwarebytes」において、iOS向け無料モバイルVPNアプリの一部がトラフィックを中国経由でルーティングしていると報じた。

これは大手企業の不正監視および公開を目的とする組織「Tech Transparency Project」の調査で明らかになった。公開されたレポートによると、iOS向け無料モバイルVPNアプリの上位100に含まれる20のアプリは、中国政府にデータを渡す義務を負う中国企業の所有とされる(参考:「TTP - Apple Offers Apps With Ties to Chinese Military」)。

  • Popular VPNs are routing traffic via Chinese companies、including one with link to military|Malwarebytes

    Popular VPNs are routing traffic via Chinese companies, including one with link to military|Malwarebytes

ダミー会社と代理所有による隠蔽工作

調査はiOS向け無料モバイルVPNアプリの上位100に対して実施された。アプリのプライバシーポリシーを掲載しているWebサイトおよびアプリに関連する外部Webサイトから、アプリ開発者の所在地を特定。その調査の過程では、複数のダミー会社を使用して追跡を回避しようとする試みが確認されている。

開発者の所在地がシンガポール、ケイマン諸島、香港、中国本土を拠点としている場合、入手可能な企業記録の調査も実施している。その結果、20のアプリが中国本土または香港に拠点を置く企業または個人と特定された。興味深いことに、これら企業や個人は中国とのつながりを隠しているとされる。

なお、中国製を明記するなど、中国とのつながりを開示しているアプリはレポートの調査対象から除外されている。

複数のモバイルVPNアプリが中国軍と関係

中国とのつながりを特定されたモバイルVPNアプリ「Turbo VPN」は、中国の軍事企業「Security Technology(別名:Qihoo 360)」に関係があるとされる。この軍事企業は米国の輸出管理規則(EAR: Export Administration Regulations)の管理対象企業リストに掲載があり、米国の国家安全保障にリスクをもたらす可能性のある組織とみられる。

この軍事企業に関係したVPNアプリとしては、Turbo VPN以外に「VPN Proxy Master」「Thunder VPN」「Snap VPN」が特定されている。

  • Apple App Storeの「Turbo VPN」紹介ページ

    Apple App Storeの「Turbo VPN」紹介ページ

信頼できるVPNの探し方と、Appleに求められる行動

Malwarebytesは信頼できるVPNの探し方として、以下の要件を示している。

  • VPNプロバイダーの所在地が信頼できる地域か同化を調査する
  • 強力な暗号化プロトコル(ChaCha20など)を使用しているかどうかを確認する
  • キルスイッチ(緊急時にVPNおよびネットワークを切断する機能)を搭載しているかどうかを確認する
  • WireGuardのような安全なプロトコルを採用しているかどうかを確認する
  • プライバシーポリシーを精査し、閲覧履歴、IPアドレス、トラフィックの追跡や保存、共有をしないと定めていることを確認する。また、収集されるデータに問題がないことを確認する

レポートによると中、国との関係が特定された20のアプリは、米国のApp Storeから合計7,000万回以上ダウンロードされたという。Appleは開発者向けガイドラインにおいて、VPNアプリはいかなるデータも第三者に販売、共有、開示してはならないと定めており、違反したアプリはApp Storeから削除されることになってりう。

レポートで指摘されたアプリの一部はすでに削除されているが、残りのアプリについても徹底的な調査を行い、違反している場合は速やかに削除することが望まれている。