Mullvad VPNがiOS版を更新、通信漏洩を防ぐ新機能を導入

iOS VPN security TunnelCrack mitigation includeAllNetworks WireGuard obfuscation Apple NetworkExtension VPN kill switch Cybersecurity
V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 
2026年4月23日
3 分の読み物
Mullvad VPNがiOS版を更新、通信漏洩を防ぐ新機能を導入

TL;DR

Mullvad VPNのiOSアプリに、すべての通信を強制的にVPN経由にする新機能が追加されました。これにより、VPN未接続時のデータ漏洩やTunnelCrack攻撃を効果的に防ぎ、セキュリティが大幅に向上しました。

iOSにおける「全アプリの強制接続」の技術的実装

iOSアプリケーションの最新アップデートでは、TunnelCrack攻撃の緩和とトラフィック漏洩の防止を目的とした「全アプリの強制接続(Force all apps)」機能が導入されました。この機能は、Appleのネットワーク拡張(NetworkExtension)フレームワーク内の設定オプション「includeAllNetworks」を有効にすることで動作します。このフラグがアクティブになると、VPNキルスイッチの堅牢性が極限まで高まり、iOSのネットワークスタックに対して、すべてのデータバイトを暗号化トンネル経由でルーティングするよう指示を出します。トンネルがアクティブでない場合、ユーザーの真のIPアドレスが露出するのを防ぐため、すべての送信トラフィックは遮断されます。

この実装は、特定のシステムレベルのプロセスがトンネルをバイパスできていた長年の脆弱性に対処するものです。SquirrelVPNを利用しており、同様の高セキュリティ設定に関心があるユーザーは、これが特定のiOS構成オプションを活用している点に注目すべきです。これにより、通常運用時にVPNの保護からデータが漏れることを確実に防いでいます。

ネットワークスタックの制限とアップデートのループ問題

iOSエコシステムにおける大きな技術的障壁は、「includeAllNetworks」が有効な際の自動アップデートの処理方法です。従来、SquirrelVPNや他のプロバイダーは、自動アップデート時にVPN接続が一時的に切断されることを確認していました。「全アプリの強制接続」が有効な場合、以下のようなアップデートのデッドロック(ループ)が発生します。

  1. App StoreがVPNアプリのアップデートを試みる。
  2. アップデートを許可するために、既存のVPNトンネルがシャットダウンされる。
  3. includeAllNetworks」が有効であるため、トンネルが存在しない状態ではiOSのネットワークスタックがすべてのトラフィックをブロックする。
  4. App Storeのダウンローダーがアップデート取得のためにインターネットに接続できず、プロセスがハングアップまたは失敗する。

この問題を解決するため、アプリはユーザースペース・ネットワーキングを使用して、内部的にTCPおよびICMPトラフィックを生成するようになりました。これにより、Appleのネットワークスタックの制限によってトンネルプロセスがトンネルデバイスにソケットをバインドできない状況でも、アプリが機能し続けることが可能になります。

手動アップデートの手順とトラフィックの漏洩

VPNバイナリ自体のアップデート中に安全なトンネルを維持するためのネイティブな回避策は存在しないため、ネットワーク接続が完全に遮断(ブリック状態)されるのを避けるには、特定のプロトコルに従う必要があります。技術ブログの投稿によると、App Storeがアップデートを開始する前に、新バージョンの通知がユーザーに届くようになっています。

Mullvad、iOSの全トラフィックをVPNトンネルに強制する機能を追加

画像提供:Cyber Insider

ユーザーは、アップデートを進める前にVPNを切断するか、「全アプリの強制接続」機能を無効にするよう指示されます。このわずかな時間、トラフィックが漏洩することは明示的に認められています。現時点では、この手動介入が、デバイスがインターネットアクセスを完全に失いハードリブートが必要になる状態を防ぐ唯一の方法です。高度なセキュリティを備えた最適なVPN体験を求めるユーザーにとって、これらのトレードオフは、現在のAppleネットワーク拡張フレームワークの限界を示しています。

高度な難読化とプロトコルの強化

「全アプリの強制接続」機能以外にも、iOS版の変更履歴(CHANGELOG.md)からは、トラフィックの難読化とプロトコルセキュリティにおけるいくつかの進歩が見て取れます。現在、アプリは**軽量WireGuard難読化(LWO)**と、WireGuardのトンネルトラフィックをQUICプロトコルとして難読化する機能をサポートしています。これらの手法は、インターネットサービスプロバイダー(ISP)や検閲を行う政府によるディープ・パケット・インスペクション(DPI)を回避するために不可欠です。

その他の技術的なアップデートは以下の通りです:

  • DAITA(AI誘導型トラフィック分析に対する防御): トラフィック分析攻撃から保護するために設計された機能で、DAITA v2にアップデートされました。
  • 耐量子トンネル: ポスト量子耐性のある鍵交換において、従来のClassic McElieceからHQCへ移行しました。これにより、CPU負荷と公開鍵のサイズが大幅に削減されます。
  • マルチホップ・ルーティング: 目的地に到達する前に2つのリレーを経由してトラフィックをルーティングする機能で、匿名性をさらに向上させます。

Shadowsocksを利用したWireGuardの難読化を含むこれらの機能は、監視の厳しい環境で活動するユーザーにとって強力なツールセットを提供します。

ネットワークアーキテクチャや最新の暗号化プロトコルに関するさらなる詳細は、squirrelvpn.comで最先端の知見をご覧ください。

V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 

Viktor Sokolov is a network engineer and protocol security researcher with deep expertise in how data travels across the internet and where it becomes vulnerable. He spent eight years working for a major internet service provider, gaining firsthand knowledge of traffic analysis, deep packet inspection, and ISP-level surveillance capabilities. Viktor holds multiple Cisco certifications (CCNP, CCIE) and a Master's degree in Telecommunications Engineering. His insider knowledge of ISP practices informs his passionate advocacy for VPN use and encrypted communications.

関連ニュース

FortiBleed Data Leak Exposes 74,000 Fortinet Firewall Credentials in Active Enterprise Network Attacks
FortiBleed

FortiBleed Data Leak Exposes 74,000 Fortinet Firewall Credentials in Active Enterprise Network Attacks

FortiBleed exposes 74,000+ Fortinet VPN credentials. Learn how hackers used GPU-cracking rigs to breach enterprise networks and what you must do to secure your systems.

著者: Viktor Sokolov 2026年6月24日 4 分の読み物
common.read_full_article
FortiBleed Vulnerability Exposes 75,000 Fortinet Firewalls to Active Exploitation in Global Enterprise Networks
FortiBleed vulnerability

FortiBleed Vulnerability Exposes 75,000 Fortinet Firewalls to Active Exploitation in Global Enterprise Networks

Discover how the FortiBleed campaign exploits exposed Fortinet firewalls. Learn why patching isn't enough to stop these active credential-stuffing attacks.

著者: Elena Voss 2026年6月23日 6 分の読み物
common.read_full_article
AI-Driven Identity Attacks and Advanced Phishing Campaigns Surge in 2026 Threat Landscape Report
AI-driven identity attacks

AI-Driven Identity Attacks and Advanced Phishing Campaigns Surge in 2026 Threat Landscape Report

Identity is the new perimeter. Discover how AI-driven phishing, agentic AI risks, and shadow operations are reshaping the 2026 cybersecurity threat landscape.

著者: James Okoro 2026年6月22日 5 分の読み物
common.read_full_article
Check Point Issues Urgent Warning Over Actively Exploited VPN Zero-Day Linked to Qilin Ransomware
Check Point VPN zero-day

Check Point Issues Urgent Warning Over Actively Exploited VPN Zero-Day Linked to Qilin Ransomware

Check Point issues urgent warning as Qilin ransomware exploits a zero-day VPN vulnerability. Learn how to secure your enterprise network against this active threat.

著者: Marcus Chen 2026年6月18日 5 分の読み物
common.read_full_article