ハクソク

世界を動かす技術を、日本語で。

GrapheneOSがGoogleが修正を拒否したAndroidのVPN漏洩を修正

2026年5月9日原文(cyberinsider.com)

概要

  • GrapheneOSが新たなAndroid VPNバイパス脆弱性を修正
  • 脆弱性は「Always-On VPN」「Block connections without VPN」有効時にもIP漏洩
  • 問題はAndroid 16のQUIC接続終了機能に起因
  • GrapheneOSは該当最適化を無効化し、攻撃ベクトルを遮断
  • 最新リリースで追加のセキュリティパッチや機能強化も実施

GrapheneOSによるVPNバイパス脆弱性修正

  • GrapheneOSAndroid VPNバイパス脆弱性 を修正したアップデートを公開
  • この脆弱性は ユーザーの実際のIPアドレス を漏洩する恐れ
  • Always-On VPNBlock connections without VPN 有効時でも情報漏洩
  • 問題は Android 16QUIC接続終了機能 に由来
  • セキュリティ研究者 lowlevel/Yusuf による脆弱性の開示
  • registerQuicConnectionClosePayload最適化 の無効化で攻撃ベクトル遮断
  • 修正は Google Pixelデバイス 対応のGrapheneOSで有効

脆弱性の技術的詳細

  • 脆弱なAPIは INTERNET および ACCESS_NETWORK_STATE のみで利用可能
  • 任意のUDPペイロードを system_server に登録可能
  • アプリのUDPソケット破棄時、 system_server が物理ネットワークインターフェースから直接送信
  • system_server はVPN経路制限を受けず、VPNロックダウンを回避
  • Pixel 8Proton VPN +ロックダウンモードで実証
  • アプリがVPN保護下でも 実IPアドレス を外部サーバへ漏洩

Googleの対応とGrapheneOSの独自対策

  • Googleは「 Won’t Fix (Infeasible)」「 NSBC (Not Security Bulletin Class)」と判断
  • 標準権限のみでネットワーク情報漏洩可能との指摘も却下
  • 研究者による異議申し立て後、 2024年4月29日 に情報公開を許可
  • GrapheneOS は該当最適化を完全に無効化(リリース 2026050400

最新アップデートの追加内容

  • 2026年5月Androidセキュリティパッチレベル へ更新
  • hardened_malloc の改良
  • Linuxカーネル (6.1、6.6、6.12各ブランチ)のアップデート
  • libpng のCVE-2026-33636修正のバックポート
  • Vanadiumブラウザ の新ビルド搭載
  • Dynamic Code Loading制限 の拡張

一般Androidユーザーの対応策

  • ADB 経由で close_quic_connection DeviceConfigフラグ を無効化し一時的な対策が可能
  • ただし 開発者アクセス が必要で、今後のアップデートで無効化される可能性

GrapheneOSの特徴と利用者層

  • プライバシー・セキュリティ重視 のAndroid系OS
  • 主に Google Pixelデバイス 向けに開発
  • プライバシー志向ユーザージャーナリスト活動家企業ユーザー に広く利用
  • アプリサンドボックス強化、エクスプロイト緩和策、Google依存度低減が主な特徴

Hackerたちの意見

悪いビジネス理由があるのは分かるけど、どうしてVPNの漏洩を「セキュリティ問題じゃない」って分類できるのか、しかもプライドを保ったままで?

それには、守るべきプライドがあるって前提があるよね。

企業にはプライドがないね。彼らは魂のない、サイコパスみたいな責任逃れの存在だ。君はどこの星から来たの?

いつの間にかデジタルセキュリティは物理的なセキュリティに変わるし、こういう「バグっぽい」行動を検出するための国の安全保障の利害関係があるんだ。もし修正するなら、別の方法でそのユーザーを匿名から外さなきゃならない。

どうして個人情報の不本意な開示をセキュリティの問題だと考えられるのか、しかもGoogleで働いてるのに?

彼らはそうするためにお金をもらってるんだ。

それは彼らにとってバグじゃなくて機能なんだ。Googleは広告会社で、VPNユーザーにパケットを漏らさせたい理由があるからね。

Googleがパッチを当てなかったのは、バックドアだからだよ。いろんな理由で、現代のメインラインAndroidは使うのがかなり危険なんだ。

これがひどいって言える技術的な詳細は、漏洩が特権プロセスであるsystem_serverで起こること。Androidのロックダウンモードは、VPNをバイパスするトラフィックはないって明言してるのに。システム自体が物理インターフェースを通じてパケットを送ると、その約束がカーネルレベルで破られちゃうんだよね。これを「セキュリティ速報クラスじゃない」って言うのは擁護しづらい。

system_serverはネットワークの特権を持っていて、VPNルーティングの制限から免除されているから じゃあ、AndroidのVPNはVPNじゃないってこと?このバグに関係なく。他のロックダウンされたOSも同じように動くの?

iOSも同じことしてるけど、回避する方法は「エンタープライズ」ライセンス(250台以上のデバイス)が必要だよ。Mullvadや他のところがそれについてはずいぶん前に報告してた。

MacOSでも、自分たちのアプリが常時オンのVPNをバイパスできることがあったよ。トラフィックが任意の宛先に直接行くようなエクスプロイトや隙間があったかどうかは分からないけど。

Hacker Newsで議論の続きを見る