研究者らが警告を発してから数週間が経過したが、米国のApp Storeには依然として、中国の所有権を隠し、ユーザーのデータを北京の手に直接渡す可能性のあるVPNが掲載されている。
研究者が警鐘を鳴らしてから6週間以上が経過した現在も、AppleとGoogleは中国企業と関係のあるVPNアプリを米国のアプリストアに放置している。これらのアプリのほとんどは、所有者を明らかにしていない。
一部は米国の制裁下にある中国のサイバーセキュリティ企業と関連しており、両テクノロジー大手は依然として利益の一部を得ている。
これは、テック・トランスペアレンシー・プロジェクト(TTP)による4月の報告書に続く新たなスポットチェックから得られた重要な結論です。一部のVPNは削除されたものの、依然として数十もの疑わしいVPNがユーザーデータとサブスクリプション収益をひそかに収集しています。
プライバシーも保証します。
一見すると、これらのアプリは無害に見えます。オンラインで匿名性を維持するための無料ツールとして販売されています。
もう少し深く掘り下げると、状況は変わります。
TTPの調査によると、これらのアプリの多くは実際には中国企業が所有している。その一つが、人民解放軍との関係を理由に米国政府から制裁を受けているサイバーセキュリティ企業、Qihoo 360だ。
Turbo VPNやVPN Proxy Masterなどのアプリは、Apple App Storeで引き続き入手可能です。どちらもQihoo 360へのリンクがあります。Google Playストアの他のアプリも同様です。
TTPは、合計で、Appleのプラットフォーム上でまだアクティブな中国関連のVPNを13個、Googleのプラットフォーム上で11個特定した。
中国関連のVPNの一例
これらのアプリはいずれも、中国企業が所有していることを公表していません。中には、シンガポールを拠点とする企業や、「Free Connected」や「Innovative Connecting」といった開発元名を使って監視を逃れているアプリもあります。
これらの名前は、多くの場合、同じネットワークに由来しています。そして中国では、政府からユーザーデータの提供を求められた場合、企業は拒否する余裕がありません。
まさにそこが問題なのです。VPNはあなたのオンライン行動をすべて監視します。特に、監視に関する法律が広範囲に及ぶ外国政府と関係が明らかにされていないVPNを使用している場合、それはセキュリティリスクとなります。
アップルとグーグルはそこから利益を得ている
これらのアプリは人気があり、収益を上げています。AppleとGoogleはどちらも標準的な手数料を受け取っています。
X-VPNのようなアプリは、米国のユーザーだけで1,000万ドル以上の収益を上げています。Turbo VPNとVPN Proxy Masterはそれぞれ500万ドル以上の収益を上げていると推定されています。
Appleはアプリ内収益の最大30%を受け取ります。Googleも、特にサブスクリプションと広告から、同様の割合を受け取ります。
つまり、両社は、ユーザーを外国の監視下に置ける可能性のあるアプリから経済的利益を得ているということです。もしこれがAppleのプライバシーマーケティングやGoogleのユーザー安全への取り組みと矛盾しているように思えるなら、まさにその通りです。
Appleは、自社ストアのVPNアプリはユーザーデータの販売や共有を許可していないと主張している。しかし、その施行はブラックボックスだ。Googleはデータ処理の透明性を求めているが、VPNに特化したポリシーは存在しないようだ。
App Storeがあなたを監視していると思わないでください
VPNアプリをダウンロードする理由は、プライバシーを確保したいからです。しかし今、アプリストアがそれとは正反対のものを提供している可能性が大いにあります。
中国ではVPNは厳密に禁止されているわけではありませんが、厳しく管理されています。政府は検閲規則に同意する承認済みのプロバイダーのみを許可しており、ほとんどの海外製VPNはブロックされています。
グレート・ファイアウォールを回避しようとVPNを使おうとすれば、違法行為となります。中国はVPN開発者を厳しく取り締まり、Appleなどの企業に数百ものアプリを国内のApp Storeから削除するよう圧力をかけています。
これらはすべて、人々がオンラインで何を見、何をしているかを厳しく管理しようとする、より広範な取り組みの一環です。そして、中国企業が米国などの他のアプリマーケットにVPNを掲載するということは、米国民も安全ではないことを意味します。
中国関連のVPNの一例
一部のアプリは中国とのつながりから距離を置こうとしている。例えば、Autumn Breeze Pte Ltd.は、Qihoo 360とは独立して運営されていると主張している。TTPは、現在も取締役として名を連ねているQihooの元幹部とのつながりを発見した。
データがデバイスから出てしまうと、そのデータがどこに行くのか、誰がアクセスできるのかを知ることは困難です。
人々は、最も機密性の高い情報を守るために使用しているソフトウェアの背後に誰がいるのかを知る権利があります。特に、それらのツールが安全、プライバシー、匿名性を謳っている場合はなおさらです。
現状、アプリストアの対策は不十分です。AppleとGoogleがプライバシー対策に真摯に取り組むのであれば、小規模な開発者に課しているのと同じ基準を自社のストアにも適用する必要があります。
アップルの対応
私たちがこの記事を公開した後、Apple は以前に出したガイダンスを繰り返しました。
App Storeでは、アプリ審査ガイドラインと現地の法律を遵守する限り、どの国の開発者でもアプリを配信できるとのことです。開発者の国籍や会社の所在地に基づいてアプリを制限することはありません。
同社によると、VPNアプリにはより厳しい規則が適用され、登録された組織のみが公開でき、開発者はユーザーがアプリを使用する前に、収集されるデータとその使用方法を明確に開示する必要がある。
これらのアプリは、いかなる目的であってもデータの使用や共有が禁止されており、プライバシーポリシーにその旨を明記する必要があります。Appleは、これらのポリシーを厳格に施行し、遵守していないアプリを削除すると述べています。
