VPNは便利だが、無料のアプリは危険かもしれない
外出しにくい状況が続いている一方で、カフェや公共交通機関の駅などでは、Wi-Fiスポットが増加している。もともと、働き方改革の推進に伴い、日本でも多種多様なワークスタイルが普及しつつあった。それにともない、Wi-Fiスポットの整備が進んだ面がある。
しかし、保護されていないWi-Fiスポットは、クレジットカード情報などを含む個人情報を盗み取るために、意図的にセキュリティをかけずに解放されている可能性がある。そのようなWi-Fiスポットを利用した場合、大きな被害を受けるおそれもあり、注意が必要といえる。
近年、個人ユーザーがフリーのWi-Fiに接続する際に利用できるサービスとして注目されているのがVPNだ。「Virtual Private Network」(仮想プライベートネットワーク)の略称で、データを暗号化して、安全な通信ルートを確保する技術だ。
デバイスとアクセスポイントの間の通信を暗号化するので、傍受されたとしても、サイバー犯罪者は解読できなくなる。
最近は、個人向けのVPNアプリの種類も増えている。その中には無料のものもあるが、信頼できるのだろうか。
残念かもしれないが、一部の無料VPNツールには、デバイスの情報を危険にさらす可能性のあるマルウェアのみならず、ユーザーのデバイスからデータを盗むものさえ含まれているという報告もある。
たとえば、今年の2月に開催されたハッキングフォーラムでは、3つの異なるAndroid VPNサービスから盗まれたユーザー認証情報とデバイスデータがリークされたという。そこには、およそ2100万人のユーザーの情報が含まれていたとされる。
漏洩の原因となったサービスの1つには、Google Playストアでのダウンロード数が1億を超えていたという、無料のAndroidアプリ「SuperVPN」も含まれていた。安全のためのVPNアプリで、データが漏洩してしまったことになる。
リスクを防ぐためのVPNで、自分のデバイスを危険にさらしてはまったく意味がない。セキュリティを守るためのVPNは、やはり、信頼できるものを選びたい。
信頼できるアプリをダウンロードしよう
VPNの無料アプリのすべてが危険とは言い切れない。しかし、有料版のアプリを選ぶことで、安定した機能が期待できる。たとえば、マカフィーではVPNサービス「McAfee Safe Connect」を提供している。
VPNに限らず、スマートフォンやタブレットには、危険なアプリをダウンロードしたくないものだ。まず、公式のアプリストアを利用する(非公式のアプリマーケットは利用を控える)のは基本といえる。
また、不自然なアプリの名称、詳しくないアプリの説明、ユーザーレビューがない……といった、疑わしく感じる要素があるなら、ダウンロードを控えたほうが安全だ。
ただ、“無料”のアプリには、内容とは関係なく、大量のダウンロードの実績がある場合も多い。よって、アプリをダウンロードするまえに、しっかりレビューを確認しておくクセをつけておこう。
そもそもの話になってしまうが、スマートフォンやタブレットには、信頼のおけるセキュリティソフトをインストールしておこう。また、アプリをダウンロードしたあとも、そのままにせず、アップデートを忘れないのが肝心だ。
今回は、McAfee Blogの「Androidユーザーはご注意を:無料のVPNアプリから2,100万件のデータが漏洩」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
Androidユーザーはご注意を:無料のVPNアプリから
2,100万件のデータが漏洩:McAfee Blog
デジタルライフを最大限に活用するために、私たちはさまざまなテクノロジーを利用してオンライン活動をサポートしています。多くのアプリやデバイスは、特定のタスクをより便利にし、セキュリティーを強化することを目的として提供されています。しかし、一部の有害なアプリやデバイスの使用は、誤った安心感を与え、オンライン上の災難につながる危険性があります。危険なプラットフォームのひとつが SuperVPNです。
ユーザーはVPNを使ってプライバシーを保護しているつもりで安心しているかもしれませんが、残念ながらこのAndroidアプリは知らないうちに秘密を漏らしています。
SuperVPNの仕組みと、今回の情報漏洩への関与についてご説明します。
SuperVPN はスーパーヴィラン(大悪党)なのか?
VPN(仮想プライベートネットワーク)は、デバイスとインターネットの間に安全なトンネルを作成することを目的としており、プライバシーとIPベースの追跡をできないようにします。トンネルを流れるデータを暗号化またはスクランブルすることでIDと財務情報を保護し、実際の場所をマスクして、どこか別の場所から接続しているように見せることができます。 VPNアプリは、プライバシーとセキュリティーに関する意識が高まるにつれて、近年ますます人気が高まっています。しかし、これはすべてのアプリにいえることですが、スマホにインストールするアプリを選択する前には調査を行なうことが重要です。
Forbesよると昨年、アプリSuperVPNに関する重大なセキュリティー警告が表面化しました。1億500万人がクレジットカードの詳細を盗まれた可能性があり、ハッカーがユーザーとプロバイダー間のメッセージを傍受する可能性があると述べた調査結果を報告しました。2月26日時点で、人気のあるハッキングフォーラムで、犯罪者が3つのデータベースをリークしました。3つの異なるAndroid VPNサービスから盗まれたユーザー認証情報とデバイスデータが含まれているとされています。Google Playで最も危険なVPNのひとつであるSuperVPNのインストール数はおよそ1億件、GeckoVPNがおよそ1千万件、ChatVPNがおよそ5万件となっています。この漏洩により、名前、電子メールアドレス、ユーザー名、支払いデータ、デバイス情報、さらにはVPNのレッドフラッグ(重要な警告)の対象である位置情報のログなど、2100万人のユーザーの情報が漏洩しました。
データ保護に価格を付けることはできない
無料のVPNは、最初は理想的なソリューションのように見えるかもしれませんが、オンラインの安全性を危険にさらす可能性があるという報告が複数あります。無料のVPNは直接的にユーザーから収益を上げていないため、多くのVPNは広告を通じて間接的に収益を上げています。これは、広告が殺到するだけでなく、追跡やマルウェアにもさらされることを意味します。実際、283の無料VPNプロバイダーに関するある調査では、72%にトラッカーが含まれていることがわかりました。イライラさせるような広告、速度の低下、アップグレードを促すメッセージの表示のほかにも、一部の無料VPNツールにはマルウェアが含まれていて、機密情報を危険にさらす可能性があります。この調査では、Google Playストアの無料VPNアプリケーションの38%にマルウェアが含まれており、SuperVPNと同様にユーザーのデバイスから情報を盗んでいることがわかりました。
オンライン通信を保護するための5つのヒント
ただし、検証済みの有料VPNサービスを選択すれば、無制限の帯域幅、高速なパフォーマンス、複数のデバイスにわたる保護など、さまざまなメリットを享受できます。またプレミアムVPNサービスを選択する以外に、次のようなヒントを参考にすることで、無料のアプリやサービスに対して安全を保つことが可能になります。日々のオンライン通信を保護するのに役立つヒントをご紹介します。
1. SuperVPNを使用している場合はアンインストール
できるだけ早くデバイスからSuperVPNを削除してください。GooglePlayストアには、SuperVPNのようなアプリは少なくとも6つ存在し、それぞれ違う制作者が同じ説明とロゴを使用しています。同様の手口に巻き込まれる危険を避けるため、これらのアプリをダウンロードしないようにしてください。
2. 出所や開発者(企業)を調査
一部の悪意のあるアプリはアプリストアのスクリーニングプロセスを通過しますが、ほとんどの攻撃のダウンロードは、ソーシャルメディア、偽の広告、およびその他の非公式のアプリソースから発生しているようです。アプリをデバイスにダウンロードする前に、出所と開発者について簡単に調べてください。
3. 批判的な目でアプリのレビューを確認
レビューとランキングは、アプリが正当であるかどうかを判断するための適切な方法です。ただし、これは不正なレビューの兆候である可能性があるため、繰り返しの表現や単純なフレーズを使いまわしているようなレビューには注意してください。
4. 詐欺の可能性がある場合にはクレジットカード会社へ連絡
データが危険にさらされている可能性があると思われる場合は、詐欺に巻き込まれた可能性があることをクレジットカード会社へ連絡してください。これにより、新規または最近のリクエストが精査されるだけでなく、信用情報のコピーが追加され、疑わしいアクティビティーをチェックできるようになります。
5. セキュリティーソフトウェアでデバイスを保護
マカフィー セーフコネクトを含む包括的なセキュリティーソリューションは、すべてのデバイスにおいてマルウェアなどのオンラインの脅威からデータとプライバシーを保護するための強力な防御手段であり続けます。
最新情報を入手
日々のニュースからの情報収集は重要です。またデジタルの安全性を維持するための情報やマカフィー製品に関する最新情報、および最新の消費者向けおよびモバイルセキュリティーの脅威に関する最新情報を入手するには、Twitterで@McAfee_Home(US)または@McAfee_JP_Sec(日本)をフォローし、ポッドキャストHackableをお聞きください。
※本ページの内容は2021年3月5日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Attention Android Users: This Free VPN App Leaked the Data of 21 Million Users
著者:Pravat Lall
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
