リモートワークで、自宅と会社を VPNで結ぶケースが増えています。通信コストを削ろうと無料VPNを使おうとすると、VPNであるにもかかわらず、個人情報を抜かれたり、情報が外部に流出するリスクがあります。
VPNとは
インターネット通信は、世界に向かってオープンになっています。したがって、通信経路上で他人の通信内容を盗聴することは容易です。
リモートワークで会社の機密情報を扱うとき、このようなオープンな通信環境では機密情報が漏れてしまいますね。そこで、インターネット回線をあたかも社内のLAN回線であるかのようにみせかける技術が VPN(Virtual Private Network、仮想私設ネットワーク)です。
上図のように、インターネット回線に専用のトンネルが作られ、外から中を覗くことができなくなっていると考えてください。
VPN を使うと、送受信するデータが暗号化されます。これにより、Wi-Fiなどの公衆ネットワークでも第三者に内容を盗み見られるリスクが低くなります。会社の社内ネットワークに、自宅や外出先から安全にアクセスできます。これにより、社内資料やシステムをインターネット経由で使えるようになります。
VPN は専用のサーバーを経由するため、アクセス元のIPアドレスがを隠すことができます。位置情報などのプライバシー情報を隠し、接続先の地域制限を回避することができます。ただし、会社の出退勤システムが位置情報を参照している場合、不具合が生じることがあるので注意してください。
リモートワークで会社の機密情報を扱うとき、このようなオープンな通信環境では機密情報が漏れてしまいますね。そこで、インターネット回線をあたかも社内のLAN回線であるかのようにみせかける技術が VPN(Virtual Private Network、仮想私設ネットワーク)です。
上図のように、インターネット回線に専用のトンネルが作られ、外から中を覗くことができなくなっていると考えてください。
VPN を使うと、送受信するデータが暗号化されます。これにより、Wi-Fiなどの公衆ネットワークでも第三者に内容を盗み見られるリスクが低くなります。会社の社内ネットワークに、自宅や外出先から安全にアクセスできます。これにより、社内資料やシステムをインターネット経由で使えるようになります。
VPN は専用のサーバーを経由するため、アクセス元のIPアドレスがを隠すことができます。位置情報などのプライバシー情報を隠し、接続先の地域制限を回避することができます。ただし、会社の出退勤システムが位置情報を参照している場合、不具合が生じることがあるので注意してください。
無料 VPN の危険性
2025年(令和7年)10月2日にモバイルセキュリティ企業 Zimperium zLabsが発表したレポートによると、Android や iOS で利用可能な約800の無料VPNサービスに深刻な欠陥があることが明らかになりました。これらの無料VPNアプリを使うと、通信データを不正に取得したり、デバイスを攻撃されるリスクがあります。
最も多い問題は、「リスクのある挙動とAPI」で、全体の65.13%のアプリが該当しました。これには、アプリ画面のひそかな記録、危険なアクティビティーの起動、ユーザー入力情報の注入・取得、データ流出、およびエクスポートされたコンテンツプロバイダーシステムの脆弱性などが含まれます。
次に多いのが「問題のある権限」です。調査対象アプリの約41%が、Android アカウント認証者権限やVPN非アクティブ時でも位置情報に常にアクセスする権限など、過剰な権限を要求していました。特に、ユーザーの行動やシステムイベントを露呈させる可能性のある「read-logs」権限の要求は、悪意のある意図の強い指標とされています。
iOS アプリでは、VPN サービスの範囲を逸脱する可能性のあるプライベートエンタイトルメントを要求するケースも確認されました。
さらに、一部のアプリでは、未修正の古いサードパーティー製ライブラリ(例:2014年(平成26年)のHeartbleed脆弱性にさらされたOpenSSLライブラリー)が使用されており、パッチ管理の不備と、攻撃者によるデバイス侵入の手段を提供する危険性が指摘されています。
また、アプリの1%は、VPN本来の目的を無意味にする中間者(MitM)攻撃に対して脆弱な通信チャネルのセキュリティ欠陥がありました。
無料VPNサービスにおいては、誤解を招くラベル表示やプライバシーマニフェストの非順守が iOS で一貫した問題となっています。これらの調査は、表向きは独立しているように見えても、実際にはつながりを隠している無料VPNサービス間の隠された関係を示唆した学術研究に基づいています。
最も多い問題は、「リスクのある挙動とAPI」で、全体の65.13%のアプリが該当しました。これには、アプリ画面のひそかな記録、危険なアクティビティーの起動、ユーザー入力情報の注入・取得、データ流出、およびエクスポートされたコンテンツプロバイダーシステムの脆弱性などが含まれます。
次に多いのが「問題のある権限」です。調査対象アプリの約41%が、Android アカウント認証者権限やVPN非アクティブ時でも位置情報に常にアクセスする権限など、過剰な権限を要求していました。特に、ユーザーの行動やシステムイベントを露呈させる可能性のある「read-logs」権限の要求は、悪意のある意図の強い指標とされています。
iOS アプリでは、VPN サービスの範囲を逸脱する可能性のあるプライベートエンタイトルメントを要求するケースも確認されました。
さらに、一部のアプリでは、未修正の古いサードパーティー製ライブラリ(例:2014年(平成26年)のHeartbleed脆弱性にさらされたOpenSSLライブラリー)が使用されており、パッチ管理の不備と、攻撃者によるデバイス侵入の手段を提供する危険性が指摘されています。
また、アプリの1%は、VPN本来の目的を無意味にする中間者(MitM)攻撃に対して脆弱な通信チャネルのセキュリティ欠陥がありました。
無料VPNサービスにおいては、誤解を招くラベル表示やプライバシーマニフェストの非順守が iOS で一貫した問題となっています。これらの調査は、表向きは独立しているように見えても、実際にはつながりを隠している無料VPNサービス間の隠された関係を示唆した学術研究に基づいています。
Insecure Mobile VPNs: The Hidden Danger:Zimperium zLabs, @2025年10月2日
参考サイト
- そのVPNは本当に安全か--Zimperiumが明かす無料サービスの危険性:ZDNET Japan, 2025年10月7日
(この項おわり)
