Android用の「VPNアプリ」にご用心。マルウェアあるかもよ!
「スマホのセキュリティ対策はしっかりしないとね!とりあえずなんか凄そうだったからVPNアプリを入れてみたよ!名前カッコいいし!」
一方、私はカスペルスキーを選びました。
VPNアプリって何?
VPNとは「Virtual Private Network」の略称です。この時点でなんだかカッコいいですよね。惚れてまう。
で、そのVPNというものを利用することで、公衆wifi利用時など、不特定多数の方々が利用される接続スポットでも安心してインターネットに接続して使うことが出来るようになる、というものです。
仕組みとしては、スマホからネットワークに接続する際、VPNを導入しているサーバー経由でインターネットに接続する、という流れになるのですが、このVPNサーバーを介する辺りで通信が暗号化され、データ通信の傍受とかその辺うまい具合になんやかんや、セキュリティ的な何かしらのことをしてくれるわけです。めちゃくちゃ抽象的なご説明ですが、私の記憶によるとそんな感じです。あ、勘違いなさらぬように、正しい知識については上記app worldさんをご参考ください。
ところがどっこい、危ないVPNアプリ
とりあえず良くわからないけど、とにかくセキュリティとかその辺凄そうなVPNですが、これを利用するための「VPNアプリ」に思わぬ落とし穴があったようです。
INTERNET Watchさんの記事です。一部ご紹介します。
Google Playで提供され、無料で入手できる283のVPNアプリを調査した研究論文が発表された。うち18%のVPNアプリでは、実際にはトンネリングの暗号化を行っていなかったという。
ここで言う「トンネリングの暗号化」というのは、先にご説明しました「VPNサーバー経由時の暗号化」というものです。この暗号化こそがVPN最大のメリット(実際には他にもありますけども)なのですが、これが18%ものアプリで行われていなかった、ということです。要するに、「セキュリティなんか知ったこっちゃない!とりあえず繋げばええんや!」という愚直極まりない状態でインターネット接続されていた状況になります。なんという野ざらし。
ちなみにご紹介している記事は2017年初頭のものですから、現在はどうなっているか分からないです。もしかするとGoogle play側でしっかり審査行われ…期待しないほうが良いですね。
他にも深刻な問題が。
オンラインのマルウェアスキャンサービス「VirusTotal」を利用した調査では、82%のアプリにおいて、ユーザーアカウントやテキストメッセージといった個人情報データへのアクセス権限を要求することが分かった。
そのうち67%のアプリで、サードパーティー製のトラッキング用ライブラリが使用されており、うち一部のアプリでは、開発者が売却目的で個人情報を収集していた。また、38%にはマルウェアが含まれていたという。
まぁ…なんというか…あれですね。個人情報データへのアクセス権限を求められる時点でおかしいと気が付けば、漏洩には繋がらないのでしょうけども。果たしてアプリ初回起動時にそこまで注意する人、いるのでしょうか…。
とりあえずですね、VPNアプリの概ね40%以上は危険度が高いから、むやみに使うもんじゃないということです。信頼されたメーカーから出ているもの、個人データ抜かれて後悔するくらいなら有料版買っておきなさい、というお話です。
今回の教訓
無料ソフトでも素晴らしいものがたくさんありますけど、無料だからこそ信頼しきってしまうことは危険です。特にシステムに関連しそうなものとか。
ですので、発行元とか、初回起動時のアクセス権限とか、そういったものを自分の目で見て見極めないといかんのですよ。レビューなんてサクラの可能性だってあるのですから、最終的には…ね?