無料VPNが危険であることはよく知られていますが、有料だから安全ということにはなりません。この記事では、TOP10VPNのセキュリティ分析結果を元に、危険なVPN、安全なVPNをご紹介します。
この記事の目的
本記事の目的と、無料VPNがなぜ危険なのかについて解説します。
概要
VPNレビューサイトTOP10VPNが、Google Playストアで最も人気のあるAndroid向け有料VPN30個について、詳細なセキュリティテストを行いました。
Analysis of 30 Popular (Paid) Android VPNs
上記記事の目的は、無料VPNと有料VPNの傾向を比較するというものなのですが、本記事では、具体的に危険な有料VPNはどれかという観点で、解説を加えつつご紹介します。
結論として、セキュリティ上重大な問題がある有料VPNアプリは、ごくわずかでした。ただし、多くのアプリで改善の余地がありました。
無料VPNが危険な理由
有料VPNの前に、無料VPNを使うべきでない理由について解説します。
特定の国家とつながっている
多くの無料VPNは、秘密裏に特定の国家(中国やイスラエル等)によって運営されています。
登録した個人情報やアクセス記録が全て、それらの国家に流れる可能性があります。
第三者にデータ販売している
特定の国家でなくても、個人情報を販売することで、利益を得ていることも多いです。
無料でVPNサービスを維持することはできないので、国家というスポンサーがなければ、何かしらの方法で売上を立てる必要があります。
マルウェアが仕込まれている
さらに悪質な場合は、VPNアプリにマルウェアが仕込まれていることがあります。
この場合、自分のデータが晒されるだけでなく、他者への攻撃に利用されて、加害者になることすらあります。
貧弱なセキュリティ
悪気はなくとも、技術的に不十分で、データが漏洩していることがあります。
調査対象のVPNアプリ
今回の対象となっているVPNは、下記の30個です。(人気順?)
- NordVPN
- ExpressVPN
- Psiphon Pro
- Windscribe VPN
- Surfshark
- Private Internet Access VPN
- FastestVPN
- VPN.AC
- Proton VPN
- PureVPN
- PrivadoVPN
- IPVanish
- CyberGhost VPN
- hide.me VPN
- StrongVPN
- HMA
- Mullvad VPN
- Hotspot Shield VPN
- PrivateVPN
- TorGuard
- Mozilla VPN
- TunnelBear VPN
- IVPN
- Astrill VPN
- VPN Unlimited
- VyprVPN
- AirVPN
- X-VPN
- Avira Phantom VPN
- PandaVPN Pro
有料VPNのセキュリティ分析
人気Android向けVPNアプリ30個について、詳細なセキュリティ分析をした結果をご紹介します。
DNSリーク
一部のVPNアプリは、特定の条件下でDNSリクエストが漏洩しています。
私の理解不足かもしれませんが、記事内で挙げられているサービス名と、別紙で挙げられているサービス名が一致しなかったので、両方をご紹介します。
下記が、漏洩が確認されたものです。
記事内で挙げられているVPNサービス
- HMA
- PrivateVPN
- Mozilla VPN
- Privado VPN
- VyprVPN
- X-VPN
- Avira Phantom VPN
別紙で挙げられているVPNサービス
- hide.me VPN
- PrivateVPN
- TunnelBear VPN
- Astrill VPN
- Avira Phantom VPN
暗号化されていないSNI
30のVPNアプリのうち、15でSNI(Server Name Indication)の漏洩が確認されました。
SNIとは、TLSプロトコルの機能の一つで、サーバーと接続を確立する際に接続先のホスト名を指定する仕組みです。これは、1つのサーバー上で複数のウェブサイトが運営されている時に必要となる処理です。
SNIが暗号化されていないことは仕組み上当たり前ですが、セキュリティのためには別途暗号化する機能を実装することが望ましいです。
- Surfshark
- Private Internet Access VPN
- PureVPN
- PrivadoVPN
- HMA
- Hotspot Shield VPN
- PrivateVPN
- TorGuard
- Mozilla VPN
- TunnelBear VPN
- VPN unlimited
- VyprVPN
- X-VPN
- Avira Phantom VPN
- PandaVPN Pro
個人情報の漏洩
個人情報(PII)の漏洩が確認されたのは、1つのみでした。
- FastestVPN
ユーザーのメールアドレスが平文で別サーバーに送信されており、元記事の筆者はかなりお怒りの様子でした。
第三者のDNSサーバーを利用
下記の7つのVPNアプリは、自前のDNSサーバーを用意せず、第三者のDNSサービスを利用しています。
ISPのDNSサーバーよりはマシですし、自前で用意するよりも技術的に優れている場合もありますが、ログを記録していないことを信頼する必要があります。
| VPNサービス | DNSサーバー |
|---|---|
| Psiphon Pro | |
| VPN.AC | 第三者 |
| Hotspot Shield VPN | |
| Astrill VPN | Cloudflare |
| VyprVPN | 第三者 |
| X-VPN | |
| PandaVPN |
IPアドレスの漏洩
有料のVPNサービスでは、IPv4またはIPv6アドレスが漏洩しているものは1つもありませんでした。
一方で無料のVPNサービスは、15%がIPv6アドレス、3%がIPv4アドレスを漏洩していました。
弱い暗号方式
より強度な暗号方式が公開されているのに、古くて弱い暗号方式を使い続けているVPNサービスがあります。
多くは、まぁ一応大丈夫だけどね、という感じですが、30年前のSSLv2を採用しているAvira Phantom VPNだけは深刻です。
AES-128(AES-256を使うべき)
- Psiphon Pro
- Hotspot Shield VPN
- PrivateVPN
- TorGuard
- TunnelBear VPN
- X-VPN
- Avira Phantom VPN
TLSv1.2(TLSv1.3を使うべき)
- PrivadoVPN
- HMA
- Hotspot Shield VPN
- TorGuard
- X-VPN
- Avira Phantom VPN
- PandaVPN Pro
ecdh-sha2-nistp256(Ed25519を使うべき)
- Psiphon Pro
SSLv2(TLSを使うべきというか、何やってるの?)
- Avira Phantom VPN
非推奨のVPNプロトコル
元記事では、Astrill VPNが、WireGuardやOpenVPNというプロトコルを実装していながらも、デフォルトの選択をOpenWebにしていることを疑問視しています。
OpenWebは、Astrill VPNが独自に開発したプロトコルで、DPIで検出されにくいということが特徴のようです。しかしその分、セキュリティに問題があると指摘しています。
- Astrill VPN
不安定なVPNトンネル
ほとんどの有料VPNアプリの通信トンネルは安定しており、パケットエラーが発生しても微々たるものでしたが、PandaVPNだけは、突出してエラーが頻発していました。
- PandaVPN Pro
不必要なアプリ権限
下記のVPNアプリは、正当な理由がないにも関わらず、権限を要求しています。
位置情報
最寄りのVPNサーバーに接続するために位置情報を要求することはよくありますが、下記の4つのサービスは、明確な理由が確認できなかったとのことです。
- Hotspot Shield VPN
- VPN unlimited
- VyprVPN
- Avira Phantom VPN
カメラ
二段階認証のQRコードなどのためにカメラが必要となることがありますが、下記の2つは、その機能がありませんでした。
- FastestVPN
- TorGuard
READ_PHONE_STATE
「READ_PHONE_STATE」は、デバイスの識別情報や接続ネットワークを要求する権限です。
VPNがこの権限を要求する理由はまったくなく、極めて危険です。
- Avira Phantom VPN
メディア
HMAがメディアへのアクセスを要求しており、筆者が目的を問い合わせたところ、廃止された古い機能なので今後のアップデートで削除するとのことです。
- HMA
<uses-feature>宣言
<uses-feature>とは、アプリがどのような機能を持っているかを記載したもので、Google Playストアの表示結果に影響します。実際のアプリの機能とは別です。
下記の4つは、GPSやカメラなどの使用が宣言されていますが、実際に使われておらず、開発者の間違いではないかということです。
- FastestVPN
- PrivadoVPN
- TorGuard
- X-VPN
個人情報の追跡、第三者とのデータ共有
元記事の筆者は、VPNサービスを適切に運営するためには、ある程度の広告やトラッキングは必要であり、問題となるトラッキングとの線引は、長年の経験に基づいているとしています。
開発寄りの話で、私も理解できないところが多かったので、全部まとめて結果だけご紹介します。
- Psiphon Pro
- FastestVPN
- HMA
- Hotspot Shield VPN
- TorGuard
- VPN unlimited
- X-VPN
- VyprVPN
- Avira Phantom VPN
- PandaVPN Pro
まとめ 危険/安全な有料VPNサービスは?
セキュリティ分析結果を踏まえ、おすすめできないVPN、おすすめのVPNについてまとめます。
使ってはいけない有料VPNサービスは?
まず前提として、ほとんどの有料VPNサービスは、最低限の水準をクリアしています。
しかし下記の4つは、特に問題が大きいため、使用しない方がよいでしょう。
- FastestVPN: メールアドレスを平文で送信
- Avira Phantom VPN: 古いプロトコルを使用している他、高い権限を要求
- Hotspot Shield VPN: 多くのトラッキングを使用
- X-VPN: 無料版で第三者にデータ共有
おすすめの有料VPNサービスは?
元記事では触れられていないのですが、名前が一度も挙がらなかった、つまり高い安全性が確認されたVPNサービスは、以下の8つです。
(本記事内で紹介していない軽微な問題も除外しています)
| VPNサービス名 | 国 |
|---|---|
| NordVPN | パナマ |
| Express VPN | イギリス領バージン諸島 |
| Windscribe VPN | カナダ |
| Proton VPN | スイス |
| IPVanish | アメリカ |
| StrongVPN | アメリカ |
| Mullvad VPN | スウェーデン |
| AirVPN | イタリア |
この中でExpressVPNは、別サイトの記事でイスラエルの関与が指摘されています。イスラエルはVPNレビューサイトも運営しているとされており、元記事もExpressVPNをイチオシしていることから、関係がある可能性はあります。
さらに、アメリカを中心としたスパイ監視同盟に加入している国を除外すると、以下の2つに絞られます。
評判通りの結果と言えるでしょう。
(次点で、令状を持った警察を追い返した実績のあるMullvad VPN)
