Proton VPN のホームページ

Android 16によりお客様のIPアドレスが露出する可能性があります

閲覧中
0 分
カテゴリー
アプリ

Android 16において、インストールされているすべてのアプリがデバイスのVPNトンネルをバイパスできるようになる重大な脆弱性が特定されました(新しいウィンドウ)。これには、Android内蔵のキルスイッチ設定を使用しているアプリも含まれます。これは、アプリが開発者に対して、お客様の実際のIPアドレスを漏洩させる可能性があることを意味します。

これはProton VPNの問題ではありません。すべてのVPNアプリに影響します。

このバグはベースとなるAndroidオペレーティングシステムにあるため、Googleのみが修正可能です。Googleはこの問題を把握していますが、残念ながら、Androidセキュリティ公開情報(新しいウィンドウ)(修正)に掲載するほど重大であるとは考えていません。現時点でGoogleはこの問題をクローズし、(修正しない/対応不可能)ステータスとしていますが、同社の対応が変わることを期待しています。

興味深いことに、Pixelや将来のMotorolaデバイスにインストール可能で、セキュリティが強化されGoogleを排除したバージョンのAndroidであるGrapheneOS(新しいウィンドウ)は、すでにQUICの問題を修正しています(新しいウィンドウ)。これは、実際にはこの問題を解決できることを示しており、Googleの対応が極めて不十分であることを物語っています。

どのような問題ですか?

お客様がVPNを使用する場合、すべてのインターネットトラフィックは暗号化トンネルを経由する必要があります。Androidには、このトンネルをバイパスさせないための内蔵「キルスイッチ」設定まで用意されています。

このバグは、増え続けるアプリやウェブサイトで使用されている、QUIC(新しいウィンドウ)と呼ばれる特定の種類のインターネット接続をAndroidが処理する方法に起因しています。アプリがQUIC接続を閉じるとき、通常はサーバーにサインオフメッセージを送信することになっています。

しかし、AndroidはこのメッセージをVPNトンネル経由で送信する代わりに、通常のインターネット接続(つまり、VPNトンネルの外部)を介して直接送信するため、受信側の誰に対してもお客様の実際のIPアドレスを露出させてしまいます。有名で完全に合法的なアプリを含め、QUIC接続を使用するアプリであればどれでも、この現象を引き起こす可能性があります。

お客様のプライバシーに対する実質的なリスクは、アプリの開発者がVPNサーバーのIPアドレスではなく、お客様の実際のIPアドレスを閲覧できてしまう点にあります。

これに対してどのような対策ができるでしょうか?

この問題を修正しないというGoogleの決定は、広範な批判(新しいウィンドウ)を招いています。現在のところ、この問題は以下の方法で軽減できます。

1. ADBを使用する

Android Debug Bridge(新しいウィンドウ)(ADB)ユーティリティを使用することで、この問題を解決できます。この修正は再起動後も維持されますが、システムアップデートによって元に戻る可能性があります。その場合は、手順を最初からやり直す必要があります。

しかし、多くの人にとってより大きな問題は、これが高度な技術的バックグラウンドを持つ人にのみ適した、簡単ではない作業である点です。

ADBのセットアップと設定が完了したら、以下を実行します:

adb shell device_config put tethering close_quic_connection -1
adb reboot

2. インストールするアプリを慎重に選択する

この重大な脆弱性により、どのようなアプリでも開発者にお客様の実際のIPアドレスを漏洩させる可能性があります。したがって、デバイスにインストールするアプリは、この情報を悪用しないと信頼できる開発者のアプリのみに制限するようにしてください。

状況を注視しています

Googleはこの問題を認識しており、修正を求める声に対応することが期待されます。解決策が利用可能になり次第、この記事を更新します。