Mullvad VPNがiOS版を更新、通信漏洩を防ぐ新機能を導入

iOS VPN security TunnelCrack mitigation includeAllNetworks WireGuard obfuscation Apple NetworkExtension VPN kill switch Cybersecurity
V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 
2026年4月23日
3 分で読める
Mullvad VPNがiOS版を更新、通信漏洩を防ぐ新機能を導入

TL;DR

Mullvad VPNのiOSアプリに、すべての通信を強制的にVPN経由にする新機能が追加されました。これにより、VPN未接続時のデータ漏洩やTunnelCrack攻撃を効果的に防ぎ、セキュリティが大幅に向上しました。

iOSにおける「全アプリの強制接続」の技術的実装

iOSアプリケーションの最新アップデートでは、TunnelCrack攻撃の緩和とトラフィック漏洩の防止を目的とした「全アプリの強制接続(Force all apps)」機能が導入されました。この機能は、Appleのネットワーク拡張(NetworkExtension)フレームワーク内の設定オプション「includeAllNetworks」を有効にすることで動作します。このフラグがアクティブになると、VPNキルスイッチの堅牢性が極限まで高まり、iOSのネットワークスタックに対して、すべてのデータバイトを暗号化トンネル経由でルーティングするよう指示を出します。トンネルがアクティブでない場合、ユーザーの真のIPアドレスが露出するのを防ぐため、すべての送信トラフィックは遮断されます。

この実装は、特定のシステムレベルのプロセスがトンネルをバイパスできていた長年の脆弱性に対処するものです。SquirrelVPNを利用しており、同様の高セキュリティ設定に関心があるユーザーは、これが特定のiOS構成オプションを活用している点に注目すべきです。これにより、通常運用時にVPNの保護からデータが漏れることを確実に防いでいます。

ネットワークスタックの制限とアップデートのループ問題

iOSエコシステムにおける大きな技術的障壁は、「includeAllNetworks」が有効な際の自動アップデートの処理方法です。従来、SquirrelVPNや他のプロバイダーは、自動アップデート時にVPN接続が一時的に切断されることを確認していました。「全アプリの強制接続」が有効な場合、以下のようなアップデートのデッドロック(ループ)が発生します。

  1. App StoreがVPNアプリのアップデートを試みる。
  2. アップデートを許可するために、既存のVPNトンネルがシャットダウンされる。
  3. includeAllNetworks」が有効であるため、トンネルが存在しない状態ではiOSのネットワークスタックがすべてのトラフィックをブロックする。
  4. App Storeのダウンローダーがアップデート取得のためにインターネットに接続できず、プロセスがハングアップまたは失敗する。

この問題を解決するため、アプリはユーザースペース・ネットワーキングを使用して、内部的にTCPおよびICMPトラフィックを生成するようになりました。これにより、Appleのネットワークスタックの制限によってトンネルプロセスがトンネルデバイスにソケットをバインドできない状況でも、アプリが機能し続けることが可能になります。

手動アップデートの手順とトラフィックの漏洩

VPNバイナリ自体のアップデート中に安全なトンネルを維持するためのネイティブな回避策は存在しないため、ネットワーク接続が完全に遮断(ブリック状態)されるのを避けるには、特定のプロトコルに従う必要があります。技術ブログの投稿によると、App Storeがアップデートを開始する前に、新バージョンの通知がユーザーに届くようになっています。

Mullvad、iOSの全トラフィックをVPNトンネルに強制する機能を追加

画像提供:Cyber Insider

ユーザーは、アップデートを進める前にVPNを切断するか、「全アプリの強制接続」機能を無効にするよう指示されます。このわずかな時間、トラフィックが漏洩することは明示的に認められています。現時点では、この手動介入が、デバイスがインターネットアクセスを完全に失いハードリブートが必要になる状態を防ぐ唯一の方法です。高度なセキュリティを備えた最適なVPN体験を求めるユーザーにとって、これらのトレードオフは、現在のAppleネットワーク拡張フレームワークの限界を示しています。

高度な難読化とプロトコルの強化

「全アプリの強制接続」機能以外にも、iOS版の変更履歴(CHANGELOG.md)からは、トラフィックの難読化とプロトコルセキュリティにおけるいくつかの進歩が見て取れます。現在、アプリは**軽量WireGuard難読化(LWO)**と、WireGuardのトンネルトラフィックをQUICプロトコルとして難読化する機能をサポートしています。これらの手法は、インターネットサービスプロバイダー(ISP)や検閲を行う政府によるディープ・パケット・インスペクション(DPI)を回避するために不可欠です。

その他の技術的なアップデートは以下の通りです:

  • DAITA(AI誘導型トラフィック分析に対する防御): トラフィック分析攻撃から保護するために設計された機能で、DAITA v2にアップデートされました。
  • 耐量子トンネル: ポスト量子耐性のある鍵交換において、従来のClassic McElieceからHQCへ移行しました。これにより、CPU負荷と公開鍵のサイズが大幅に削減されます。
  • マルチホップ・ルーティング: 目的地に到達する前に2つのリレーを経由してトラフィックをルーティングする機能で、匿名性をさらに向上させます。

Shadowsocksを利用したWireGuardの難読化を含むこれらの機能は、監視の厳しい環境で活動するユーザーにとって強力なツールセットを提供します。

ネットワークアーキテクチャや最新の暗号化プロトコルに関するさらなる詳細は、squirrelvpn.comで最先端の知見をご覧ください。

V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 

Viktor Sokolov is a network engineer and protocol security researcher with deep expertise in how data travels across the internet and where it becomes vulnerable. He spent eight years working for a major internet service provider, gaining firsthand knowledge of traffic analysis, deep packet inspection, and ISP-level surveillance capabilities. Viktor holds multiple Cisco certifications (CCNP, CCIE) and a Master's degree in Telecommunications Engineering. His insider knowledge of ISP practices informs his passionate advocacy for VPN use and encrypted communications.

関連ニュース

NymVPN Introduces Split-Tunneling for Windows and Mac Users
NymVPN

NymVPN Introduces Split-Tunneling for Windows and Mac Users

NymVPN launches split-tunneling for Windows and macOS alongside the Lewes Protocol for post-quantum encryption. Upgrade your privacy and connection speed now.

著者 Natalie Ferreira 2026年4月22日 3 分で読める
common.read_full_article
Quantum Encryption Threat: Are Your Public Banks Prepared?
Quantum Computing Banking

Quantum Encryption Threat: Are Your Public Banks Prepared?

Indian banks face a 'Q-Day' crisis as quantum computers threaten to break RSA encryption. Discover how RBI and the National Quantum Mission are securing your data.

著者 Tom Jefferson 2026年4月20日 2 分で読める
common.read_full_article
WireGuard VPN Developer Unable to Release Updates After Microsoft Lock
WireGuard

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock

Microsoft's account lockout has halted critical security updates for WireGuard and VeraCrypt. Read how this verification glitch threatens VPN and encryption security.

著者 Daniel Richter 2026年4月17日 2 分で読める
common.read_full_article
XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy
XRP Ledger

XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy

XRP Ledger partners with Boundless to launch zero-knowledge proof verification. Secure institutional privacy while maintaining regulatory compliance today.

著者 Elena Voss 2026年4月16日 3 分で読める
common.read_full_article