VPNサービスを利用するメリット
- トンネリングによる通信の保護(盗聴の防止)
- 暗号化による通信の秘匿化(盗聴の防止・プライバシー保護)
- 専用 DNSの利用による通信の匿名化(プライバシー保護)
- 接続先のロケーション変更による位置情報の偽装(ジオブロックの回避)
VPN(仮想プライベートネットワーク)は、 通信する際にトンネルを作って外部から遮断された仮想回線で二点間を直結(トンネリング)し、トンネルの中の通信を暗号化して内容を保護するだけでなく、VPNサーバを経由するので接続元の IPアドレスが匿名化され、プライバシーの保護が確保される。
フリースポットのリスク
通信のセキュリティは Googleがウェブブラウザとサーバ間の通信を暗号化する HTTPS を推進したことで、HTTPSのトラフィックは 2017年に 90%を超え、 HTTP接続で問題だった 中間者攻撃(Man-in-the-middle attack)による盗聴リスクは大きく減少したが、スマホの普及で増加した Wi-Fiのフリースポットが Wi-Fiハッカーによる 盗聴 や なりすまし のリスクに晒されている。
IPAテクニカルウォッチ「公衆無線LAN利用に係る脅威と対策」
日本人観光客の 4 人のうち 3 人は訪問先のフリーWiFi を利用しているが、フリー スポットを利用する機会が多いスマートフォン用のアプリは通信が暗号化されていないものが多く、通信内容を保護するために IPA(情報処理推進機構)は VPNサービスの利用を推奨している。
ISPによるログの保管と検閲
インターネットへは ISP(インターネット・サービス・プロバイダー)を通じて接続するが、ISPはネットワークを通過した通信に対してログを取っており、裁判所の令状など法的根拠に基づいた個人情報開示請求が承認されると、サーバにアクセスした IPアドレスから契約者の氏名・住所などが割り出されて開示される。
通信の秘密
日本にはプライバシーを保護する 電気通信事業法 第 4 条 第 1 項 通信の秘密 で、通信の内容や宛先を第三者に知られたり、漏洩されたりしない権利が保障されており、本人の同意を得るか、正当行為・正当防衛・緊急避難に該当する「違法阻却事由」がある場合にのみ通信の秘密の侵害が許される。
ISP には通信内容を監視する検閲所としての機能があり、違法阻却事由 が認められると、ISPのネットワーク内にある DNSサーバや専用装置によって通信を遮断(ブロッキング)できる。
2018年 4月 政府は ISPに漫画村・Anitube・Miomioの 3 サイトをブロッキングするよう要請したほか、警察庁などによって児童ポルノ関連のサイトの閲覧制限も実施されている。
シギント(通信の傍受)
エドワード・スノーデン氏が NSA(アメリカ国家安全保障局)による国際的監視網(PRISM)の実在を暴露したことで、都市伝説的だった公的機関による シギント(通信の傍受)への警戒感が強くなり、個人レベルでもプライバシーの保護対策を講じる人が増加している。
米英など5カ国「ファイブアイズ」、日独仏と連携 サイバー攻撃、中国の機密情報共有
2019年に中国のサイバー攻撃に関する情報を共有するため、ファイズアイズに日本・ドイツ・韓国・フランスが加わった枠組み 5アイズアライアンスプラス が発足。
VPN接続による通信の匿名化
ジオブロックの回避
VPNプロバイダは世界各国にサーバを設置しているため、海外からの接続を受け付けていないサイトへは対象国 の VPNサーバに接続することで位置情報を偽装してアクセスが可能になる。
近年は VPN接続を検知してブロックするサイトが増えており、VPN接続のブロックを回避する機能を提供する VPNサービスもある。
プライバシー保護のための VPNプロバイダの指標
VPNは通信の安全性とプライバシー保護に有用なサービスだが、VPNプロバイダは ISPにようにユーザーのトラフィック情報を収集可能で、プライバシー保護には VPNプロバイダの信頼性が重要になる。
- 独立した第三者機関の監査
サーバーセキュリティ会社などの第三者機関からデータの取扱などの監査を受け、レポートを公開していると、最も確実な安全性の担保になる。 - ノーログ
アクセスログを保存しないノーログポリシーは VPNプロバイダーの自己申告で、過去にはノーログポリシーを採用していながらログデータを提供した事案も発生しているため信憑性は高くないが、プライバシー保護には必須の条件。 - DNSリーク(DNS漏れ)
VPNサービスでは暗号化された DNSサーバを利用するので、アクセス元の IPアドレスは見えないのだが、見えないはずの IPアドレスが見えてしまっている状態が DNSリーク(DNS漏れ)。
暗号化された DNSサーバへの接続が切断されると、DNSクエリは暗号化されていない ISPの DNSサーバなどに転送されて通信を維持するため、VPNサービスは強制的にネットワークを遮断するキルスイッチなどを実装して DNSリークを阻止している。 - プロバイダの拠点
ノーログポリシーを採用しているプロバイダでも公的機関から法的に特定 IPアドレスの監視や、アカウントのロギングを強制される可能性があり、 イギリス領ヴァージン諸島 ・パナマ・セイシェル・ケイマン諸島・マレーシアは「プライバシーヘイブン」と呼ばれる法的にユーザーのプライバシーが保護される国で、トップVPNプロバイダが拠点を置いていることが多い。 - 令状のカナリア(透明性レポート)
VPNプロバイダなど個人情報を取り扱う企業が公的機関からデータ提出要求を受けていないことを表しているが、令状のカナリアに法的根拠はなく、 安全性を保証したものでもない。
VPNプロバイダにはノーログポリシーを採用していないところも多く、特に無料で提供されているモバイル用の VPNアプリでは、ユーザーのアクティビティを広告やトラフィックの分析データとして利用したり、プライバシーポリシーに収集したデータの利用方法が記載されていないなど、信頼に値しないサービスが多い。
DNSリークのテストツール
VPN接続が確立している状態で ipleak.net へアクセスし、Your IP address に接続先のサーバ情報のみが表示されるか、接続先サーバと DNSサーバに同じ国が表示されていれば DNS漏れはなく、通信は匿名化されている。
DNS漏れが発生していると DNSサーバが国内になるなど接続先のサーバと違っている。
VPNプロバイダのサイトにある IPアドレスチェッカー・DNSリークテスト・WebRTCリークテスト などを使用すると「漏洩している」と表示されるが、VPNプロバイダのツールは自社の VPNサービス以外の環境からのアクセスはすべて漏洩と表示されるので、まったく信用に値しない。
通信速度のテスト
SPEEDTEST で VPN接続時と未接続時で測定し、大きな速度低下がないことを確認する。
プロバイダの統合
Nord Security
リトアニアの Nord Security は NordVPN を提供している VPNトッププロバイダ。
Kape Technologies
Kape Technologies PLC はイスラエルの富豪 Teddy Sagi氏が所有するサイバーセキュリティ会社。
- 2017年3月:CyberGhost を買収
- 2018年10月:ZenmateVPN を買収
- 2019年 11月:Private Internet Access を買収
- 2021年 9月:ExpressVPN を買収
Kape Technologies の前身はブラウザ拡張機能を開発した Crossrider で、開発したプログラムがマルウェアに利用されたことから悪名を轟かせ、Teddy Sagi 氏も過去に賄賂と詐欺の罪で有罪になったこともあり、買収された VPNサービスの安全性が危ぶまれているが、 Crossrider は 2016年に経営陣を一新してプログラム開発会社からサイバーセキュリティ会社に転向しており、買収された VPNプロバイダも独立運営している。
VPNの信頼を損なう事案
PureVPN によるネットワークログの提供問題
ノーログポリシーを採用していた PureVPNは、2017年に FBIの要請に応じてネットワークログ(ユーザーが PureVPN に接続した記録)を提出してユーザーの特定に協力。
PureVPNは提出したネットワークログはトラブルシューティングなどで使用するために自動生成されるもので、ユーザーのアクティビティは保存されていないと釈明したが ノーログポリシー の信頼性が大きく損なわれることになった。
2018年に PureVPNはプライバシーポリシーを改定し、米国の情報システム監査人 Altius IT よりゼロログ認定を受けており、現在はユーザーのアクティブログから個人を特定することができない。
Hotspot Shield Free VPNによる広告ネットワークへのルーティング問題
米国に本拠を置く非営利団体 Center for Democracy & Technology は、2017年に Hotspot Shield Free VPNがユーザートラフィックを広告ネットワークへルーティングしていることを指摘。
当時の Hotspot Shield Free VPN のプライバシーポリシーはユーザートラフィックが保存され、第三者に開示できるという内容になっていた。
Hotspot Shield Free VPN は 2018年 6月にプライバシーポリシーを改定し、ユーザートラフィックは保存せず、Hotspot Shield Free VPNのみユーザーの位置情報が広告に使用されるなど表記が具体的になり、以前よりもプライバシー保護が強化された内容になった。
Onavo Protect による ユーザーデータ収集の問題
Facebookに買収されたイスラエルのソフトウェアベンダー Onavoは、提供していた 無料 VPN アプリ Onavo Protectを使用して送信されてきたトラフィックを分析し、Facebookが買収などの営業戦略に利用していたことが明るみに出て大きな問題になり、VPNアプリがスパイウェア として機能することを知らしめる事になった。
Onavo Protect は Google Playストア から 削除されている。
Hola VPNによる出口ノード利用とトラフィック販売問題
イスラエル の ソフトウェアベンダー Hola が提供していた Hola VPN では、 ユーザー のデバイスを出口ノード(最終的にサーバへアクセスする IP)として使用していることが発覚し、VPNユーザーの帯域幅が 1GB あたり 20ドルで販売されていた。
出口ノードとして犯罪に利用されると パソコン遠隔操作事件 のように全く覚えのない犯行の容疑者として検挙される可能性がある。
関連記事
トラフィックの監視を回避する Shadowsocksプロトコルや Onionドメインへのアクセスもサポートしているパナマに拠点がある シンプルでセキュアな VPNサービス
Surfshark VPNとマルウェア対策・広告やトラッキングのない検索・データ漏洩の監視など プライバシー保護とマルウェア対策ができるセキュリティアプリ
ノーログポリシーを採用し、マルウェアブロックや VPNトラフィックブロック回避機能を実装、デバイスの接続数に制限のない、セキュアで多機能、リーズナブルな VPNサービス
無料でも広告や使用データ量に上限がなく、通信の保護・匿名化・プライバシー保護など、最高レベルのセキュアな通信が可能な Proton AG が提供しているオープンソースのVPNサービス
セキュアな接続・プライバシー保護・匿名化 のほか、動画ストリーミングサイトへの接続やP2P接続など、豊富な機能を提供するオープンソースのセキュアな VPN サービス