iOSのVPN機能は2年以上壊れた状態にあると研究者が指摘

VPN(Virtual Private Network)はネットワーク接続を暗号化することで通信内容を守る仕組みなのですが、セキュリティ研究者が、iOSのVPN機能は2年以上にわたり壊れた状態にあり、データを守っているVPNトンネルの外にデータが漏れていることを指摘しています。

VPNs on iOS are a scam
https://www.michaelhorowitz.com/VPNs.on.iOS.are.scam.php

iOS VPNs have leaked traffic for more than 2 years, researcher claims | Ars Technica
https://arstechnica.com/information-technology/2022/08/ios-vpns-still-leak-traffic-more-than-2-years-later-researcher-claims/

セキュリティ研究者のマイケル・ホロウィッツ氏によると、通常、VPNクライアントはVPNトンネルを用いた安全な通信を確立するにあたり、既存の通信はすべて切断した上でVPNトンネル経由で通信を再確立します。

しかし、iOSのVPN機能ではこの「既存の通信を切断する」ことができないため、VPN接続しているにもかかわらず、VPNトンネルを経由しない通信が行われるとのこと。ホロウィッツ氏は「これはレガシーなDNSリークではなくデータリークです」と述べています。

このことを先行して指摘しているのがProton VPNです。

iPhoneにVPN接続を暗号化できないバグが発見される、簡単な回避策も同時に公開 - GIGAZINE

Proton VPNの指摘した問題はiOS 13.3.1で確認されたもので、Appleは問題に対応するため既存の接続をブロックする機能を追加したとのことですが、ホロウィッツ氏の検証によって、問題は解消されていないことがわかっています。

ホロウィッツ氏は複数のVPNプロバイダーとVPNクライアントを利用して検証を行い、問題はiOSにあると確認。2022年5月19日にAppleに連絡を入れましたが1週間反応がなく、2022年5月26日に再度連絡したところ、今度は反応があってAppleとのやりとりを進めたとのこと。ただ、ホロウィッツ氏によると、Apple側は問題を再現しようとしたかどうかを明かさず、指摘された問題がバグかどうかも言及しなかったそうです。

なお、2022年7月にリリースされたiOS 15.6でもこの問題が解消されていないことが確認されたため、ホロウィッツ氏はVPNプロバイダーであるWindscribeのテクニカルサポートに連絡。Windscribeの共同創業者であるYegor Sak氏は、この問題を認識しており、Appleに複数の報告を送ったと述べたとのことです。

こうした状況を受けてホロウィッツ氏は、iOS端末でVPN接続を利用したいときはルーターでVPNクライアントを利用すべきだとコメント。ルーターが1台しかないのにVPN接続にするのはオススメできないので、VPN接続専用ルーターを設置するのがオススメで、使うならpcWRTがいいとアドバイスしています。