グーグルは近年、セキュリティに関する勧告を相次いで発表しており、特にChromeブラウザにおける高深刻度の脆弱性が多数確認されたことから、ユーザーに対して再起動を促す警告を発している。また、Androidデバイスの安全性が示唆された調査結果を受け、iPhoneユーザー向けにも個別の注意喚起を行っている。しかし、現代の政治的・技術的状況を踏まえると、最も注目すべきはアンドロイドの脆弱性やカレンダー招待を悪用する攻撃者に関する問題ではなく、むしろVPNの利用自体に内在する新たな脅威であると言わざるを得ない。
グーグルのトラスト&セーフティ担当バイスプレジデントであるローリー・リチャードソンは、最新の勧告の中で、すべてのスマートフォンユーザーに対し、複数のセキュリティ警告を発表した。特に、英国でオンライン安全法が施行され、米国でも州ごとに法制化が進む中、オンラインポルノグラフィへのアクセスが困難となり、厳格な年齢確認制度の導入により、多くのユーザーがVPNを利用して規制を回避しようとする傾向が顕著になっている。こうした状況を背景に、VPNを悪用した新手のサイバー攻撃が急増しているのである。
リチャードソンによれば、脅威アクターは正規のVPNサービスを装った悪意あるアプリケーションを、ユーザーのセキュリティやプライバシーを侵害する目的で、さまざまなプラットフォームに拡散しているという。特に、消費者向けVPNブランドや一般利用者、さらにはポルノサイトへのアクセスを求める利用者層が標的となりやすい。加えて、性的な内容を含む広告を利用したソーシャルエンジニアリングの手法も確認されており、こうした手口による被害は今後さらに拡大するおそれがある。
悪意あるVPNアプリや偽のVPNサービスをインストールした場合、ユーザーはプライバシーが守られるどころか、パスワード窃取型マルウェアやリモートアクセス型トロイの木馬(RAT)など、さまざまなマルウェアによる深刻な脅威にさらされることになる。これらのマルウェアは、閲覧履歴やプライベートメッセージ、金融機関の認証情報、暗号資産ウォレットの情報など、極めて機微な個人データを抜き取ることを目的としている。
VPNとは、インターネット上で利用するサイトやサービスと自分のデバイスとの間に暗号化されたトンネルを構築し、通信の秘匿性を高める技術である。Protonによれば、このトンネルはVPNサーバーを経由してすべてのDNSクエリを処理し、デバイスとインターネットの間に介在することで、実際のIPアドレスを隠蔽する役割を果たす。多くのVPNサービスでは世界各地のサーバーを選択でき、これによりユーザーは異なる地域からアクセスしているかのように見せかけることが可能となる。こうした特性を利用して、ストリーミングサービスや各種サイトの地域制限を回避する目的でVPNが活用されている。
しかしながら、VPNプロバイダーの選定において最も重要なのは、その事業者が信頼に足るかどうかという点に尽きる。VPNプロバイダーは利用者のインターネット接続を扱うため、閲覧履歴などの機密情報にアクセス可能であるという事実を忘れてはならない。ビジネス向けVPNも基本的な仕組みは同様であるが、主に遠隔拠点から安全に企業ネットワークへアクセスするために用いられる。英国のNational Cyber Security Centreも、OSネイティブクライアントの利用を推奨しており、サードパーティ製クライアントの利用はセキュリティリスクを高める可能性があると警告している。
このような状況を受け、グーグルはVPNアプリのダウンロードに際して、必ず公式の配布元を利用し、Google PlayではVPNバッジが付与されているアプリのみを選択することを推奨している。また、無料オファーや信頼できないアプリのサイドロードは厳に慎むべきであり、連絡先やプライベートメッセージへのアクセス権限を要求するVPNアプリも利用を避けるべきである。
VPNは決して万能のセキュリティツールではなく、IPアドレスを秘匿したとしても完全な匿名性を保証するものではない。特に、ブラウザのフィンガープリンティングなどによって個人が特定される可能性が残るため、多層的なセキュリティ対策が不可欠である。今後もVPNの利用拡大に伴い、巧妙化するサイバー脅威への警戒を怠ってはならない。
