iOS 16で一部のApple製アプリが勝手にVPN接続を回避して通信がダダ漏れになっていることが判明

仮想プライベートネットワーク(VPN)は、ネットワーク接続を暗号化することで安全なインターネット通信を可能にする仕組みであり、政府機関の検閲を避ける目的でも使われています。ところが、2022年9月にリリースされたiPhone向け最新OSのiOS 16で、「一部のApple製アプリがサーバーとの通信時にVPN接続を回避している」ことが報告されました。

Most Apple apps on iOS 16 bypass VPN connections | AppleInsider
https://appleinsider.com/articles/22/10/12/most-apple-apps-on-ios-16-bypass-vpn-connections

セキュリティ研究者のTommy Mysk氏は2022年10月12日、「私たちはiOS 16がアクティブなVPNトンネルの外部でAppleサービスと通信することを確認しています。さらに悪いことに、DNSリクエストも漏えいします」とTwitterに動画付きで投稿しました。

Mysk氏が投稿した動画は、iPhoneでVPNサービスの「ProtonVPN」を使用しながら、パケット解析ソフトのWiresharkでパケット情報を分析したものです。iPhoneのOSは「iOS 16.0.3」とのこと。

Appleの「マップ」アプリを開くとAppleサーバーとの通信が始まり……

iPhoneのIPアドレスが伝えられてしまいました。通常、VPN接続を使用していればIPアドレスが送られることはありませんが、Appleの一部アプリはVPNを回避してサーバーと通信してしまうとのこと。

また、IPアドレスだけでなくDNSリクエストも送信していました。

マップ以外にも、「Apple Store」「Clips」「ファイル」「探す」「ヘルスケア」「設定」「Apple Wallet」でVPN接続の回避が確認されたとのことです。

2022年8月にも「iOSのVPNが機能していない」という指摘が上がっており、セキュリティ研究者は「iOS端末でVPN接続を利用したいときはルーターでVPNクライアントを利用すべき」とアドバイスしています。

iOSのVPN機能は2年以上壊れた状態にあると研究者が指摘 - GIGAZINE

AndroidアプリでもGoogle製サービスを使用する際にVPN接続を回避することが知られており、iOSデバイスでも同様の動作がみられたとMysk氏は述べています。攻撃者がこれらのトラフィックをのぞき見して悪用できるかどうかは不明ですが、以前から指摘されつつも問題が修正されない点から、テクノロジー系メディアのApple Insiderは「AppleとGoogleだけが知る理由で意図された動作である可能性が高いでしょう」と述べました。