こちらの件は、2016年11月に開催された”ACM Internet Mesurement Conference 2016″に投稿された、Ikram氏他による”An Analysis of the Privacy and Security Risks of Android VPN Permission-enabled Apps”が元ネタの話です。
Android4.0以降では、アプリの開発者に”VPN機能”が解放され、これによってAndroid端末の通信を開発アプリにバイパスさせることで様々な機能を実現することができるようになっていますが、この論文では、そのような機能を使いGoogle Playにアップされている283のアプリについて、どのような機能の実現に”VPN機能”が利用されているのか、利用者にとってセキュリティの問題はないのかを、個々のアプリについて調査したものです。
ちなみに弊社のSWANAccessについては、Androidの”VPN機能”は利用しておらず、この論文の調査対象には含まれていないものと考えております。なお、同論文には機能的に特徴的なものや、セキュリティ上極めて問題のあるものについて、具体的なアプリ名があげられておりますが、調査した283のアプリのリストは開示されておりません。
この論文の内容について、以下簡単にご紹介させていただくと、Androidの”VPN機能”をアプリで利用しユーザに提供される機能としては、概して以下のように分類されるとしています。
1)マルウエアチェックなどのセキュリティ検査
2)通信速度を向上させる
3)通信の秘匿性(VPN)
1)についてはAndroidの”VPN機能”を有効にすることで、全ての送受信通信をフェッチすることができるようになり、アプリ側でその通信内容から例えばパターンチェックをすることで、通信に含まれるマルウエアを検疫するものです。
2)については、やはり全ての送受信通信をフェッチした上で、例えばテキストベースのHTTPを圧縮してみたり、適切なコンテンツディストリビューションネットワークに振り分けたりするというものです
3)はVPNが正にそのものですが、そのほかパブリックWiFiに接続するような場合に通信内容まで他者に漏れるのを防ぐために、アプリで暗号化して少なくともおなじパブリックWiFi利用者に通信内容を傍受されないようにするといったものが含まれます
これらについて、同論文では、以下のような問題を含むアプリが出回っていることがわかったと報告しています。
ー 2)や3)について、通信が適切に暗号化されていない、あるいは全くされていないものがある
ー 1)や2)について、e-Commerceサイトへの通信などもともと暗号化された通信についてアプリ側で復号化しているものがあるが、そのことを適切に利用者に通知していないものがあり、中には復号化して得られた通信情報(の一部)をアプリ業者のサーバに送信し、商用利用しているものがある
ー アプリが第三者へのトラッキング通知をするライブラリをリンクしているものがあったり、中にはウイルススキャンソフトでチェックしてみるとマルウエアを含んでいると検出されるようなアプリも存在する
ー 3)について、IPv6で行われる通信についてはVPNトネリングを経由しないようになっているものがある。また、社内サーバのサーバ名の解決に公開DNSサーバに問い合わせにいってしまっているものもあり、社内サーバ名の情報漏洩になってしまっているものもある
ー 2)について、e-Commerceサイトを含む特定のサービスへのアクセスを1つ以上の第三者のサーバを経由して通信させるようにしていて、通信の盗聴が疑われるケースがある
ー HTTP通信にJavascriptを組み込み広告を表示させるようにしているものがある
論文では、これら指摘している問題に対して、特に問題だと考えられるアプリについてはその名前も記載していますが、論文中ではそれらの開発会社とコンタクトをとり、実際に会話ができたものの中には対処がされ改善されたものがあることが報告されています。
なお、弊社のAndroidアプリSWANAccessについては、上記で指摘されている項目については以下の通りです。
1)Webアプリアクセス用のVPNソフトウエアであり、SWANStorシステムの仕様とSWANAccessの構造上、正しく発行されたサーバ証明書が設定されているSSLサーバとのSSL暗号化通信以外のものができないようになっています
2)通信先はご利用のSWANStorシステムに限定されており、その他へのサーバ通信などは行いません。SWANStorシステムはIPv4ベースで動作しており、IPv6通信は発生しない他、DNSへの名前解決についても、解決すべき名前はSWANStorゲートウエイのものだけになります
3)その他、論文で指摘されているような問題は、ブラウザアプリであるSWANAccessには該当しません
Androidの”VPN機能”については、そのアプリをインストールする際にユーザへの仕様許可を求めるメッセージが表示されます。それをよく確認した上でインストールするべきだと考えます。また、それぞれのGoogle Playではそれぞれのアプリに対するユーザの評価も得られますが、そこでセキュリティ上の懸念事項が書かれていないかどうかをよく確認することも必要だと考えます。