VPNプロバイダーのMullvad VPNが2026年5月、Android 16に深刻なセキュリティの脆弱性が存在することを公表した。Tom’s GuideがZoran Danilovic記者の署名記事で詳報している。Mullvad VPNは「ユーザーを守るための情報共有を目的としてこの問題を公開した」と説明しており、単なる自社製品のアピールではなく、Android VPN全体に関わる問題として警鐘を鳴らす形となった。
Android 16のVPN漏洩バグとは何か
Mullvad VPNのブログによれば、今回の脆弱性はAndroid 16におけるQUICプロトコルの接続シャットダウン処理に起因している。悪意あるアプリがConnectivity Managerサービスに紐付いたシステム関数を悪用することで、VPNトンネルの外側に特定のトラフィックを送出できてしまうという。
この問題が特に深刻なのは、Android端末で「Always-On VPN」と「VPN接続なしの通信をブロック(キルスイッチ)**」の両方を有効にしていても漏洩が起きる点だ。これらの機能は、ホテルや空港・カフェなど公共Wi-Fiでの安全確保において「最後の砦」として広く信頼されてきた設定である。
なぜこれが重大問題なのか──全VPNアプリが対象
Mullvad VPNは「この問題はMullvad固有のものではなく、Android 16上のすべてのVPNアプリに影響する」と明言している。どれだけ評判のよいVPNサービスを使っていても、脆弱性はOS側に存在するため、アプリ単体での対処が難しい状況だ。
さらに懸念されるのはGoogleの対応だ。Mullvad VPNによれば、Googleのセキュリティチームに報告したところ「修正は実現不可能(Won’t Fix / Infeasible)」としてクローズされたという。その後AndroidのIssue Trackerに別途報告を行ったが、現時点でそのレポートは閲覧不能な状態にあるとされる。
プライバシー重視のAndroidフォーク「GrapheneOS」は独自に修正を適用済みとのことだが、一般向けのAndroid 16では現時点で公式パッチは提供されていない。
暫定対処法(ADB操作が必要)
Tom’s Guideの記事でも紹介されている暫定対処法は以下のとおりだ。ただし開発者オプションの有効化とADB(Android Debug Bridge)の操作が必須であり、一般ユーザーには敷居が高い点に注意が必要だ。
- 開発者オプションとUSBデバッグを有効化する
- ADBをインストールしたPCにデバイスを接続する
- 以下のコマンドを実行する
出典: この記事は This serious Android VPN bug can leak your internet traffic – here’s what you need to know の内容をもとに、筆者の見解を加えて独自に執筆したものです。