VPN サービス の 安全性 と 利用のメリット

Reports-icon

VPN サービス を利用するメリット と VPNプロバイダ選択時の指標

VPN サービスを利用すると  安全な通信通信内容の秘匿化通信の匿名化 の メリットがもたらされるほか、接続サーバを指定することで 接続元の位置情報 を偽装できるので ジオブロック ( 地理的位置で制限を加える技術 ) を回避できる 。

VPN とは

仮想プライベートネットワーク ( VPN ) は インターネットに 暗号化というトンネルを作って 接続するもので、 通信の安全性 と IP アドレスの匿名化により プライバシーの保護が確保される。

安全な通信

通信のセキュリティは Google が ウェブブラウザ と サーバ間の通信を暗号化する HTTPS を 推進したことで  HTTPS のトラフィックは 2017年に 90% を超え、 HTTP 接続で問題だった 中間者攻撃 ( Man-in-the-middle attack ) による 盗聴リスクは大きく減少したが、スマホの普及で 増加した Wi-Fi のフリースポットが Wi-Fi ハッカー による 盗聴なりすまし のリスクに晒されている。

How to setup a VPN-001

IPAテクニカルウォッチ「公衆無線LAN利用に係る脅威と対策」

フリー スポット を利用する機会が多い スマートフォン用のアプリでは 通信が暗号化されていないものが多く 通信内容を保護するためにも IPA ( 情報処理推進機構 )  でも VPNサービスの利用が推奨されている。
日本人観光客の 4 人のうち 3 人は 訪問先の フリーWiFi を利用している。

How to setup a VPN-002

VPN サービスを利用することで 通信は 暗号化 や トンネリング によって保護されるため 盗聴 を防ぐことができる。

通信内容の秘匿化

インターネットへは ISP ( インターネット・サービス・プロバイダー ) を通じて接続するが、VPN サービスを利用すると ISP を経由した接続先が VPN サーバになり、VPN サーバ と ユーザー間 の通信が 暗号化されるため ISP には VPN サーバに接続した ログしか残らない

ISP によるログの保管 と 検閲

ISP は ISP の ネットワークを通過した通信に対してログを取っており、裁判所の令状など法的根拠に基づいた 個人情報開示請求が承認されると サーバにアクセスした IPアドレス から 契約者の氏名・住所などが開示される。

日本にはプライバシーを保護する 電気通信事業法 第 4 条 第 1 項 通信の秘密 があり 通信の内容や宛先を第三者に知られたり、漏洩されたりしない権利 が保障されており、本人の同意を得る正当行為正当防衛緊急避難 に該当する 違法阻却事由がある場合 にのみ通信の秘密の侵害が許される

ISP には ユーザーの通信内容を監視して許可なく操作できる検閲所としての機能があり 違法阻却事由 がある認められると、 ISP を通信が通過する際に ISP のネットワーク内にある DNSサーバ や 専用装置 によって通信が遮断される ブロッキング が行われ、2018年 4月 政府は ISP に 漫画村・Anitube・Miomio の 3 サイト を ブロッキングするよう要請したほか、警察庁などによって児童ポルノ関連のサイトの閲覧制限も実施されている。

シギント

エドワード・スノーデン氏が NSA ( アメリカ国家安全保障局 ) による国際的監視網 ( PRISM ) の実在を暴露したことで、都市伝説的だった 公的機関による シギント ( 通信の傍受 ) への警戒感が強くなり、個人レベルでもプライバシーの保護対策を講じる人が増加している。

米英など5カ国「ファイブアイズ」、日独仏と連携 サイバー攻撃、中国の機密情報共有 

2019年には 中国のサイバー攻撃に関する情報を共有するため ファイズアイズに 日本・ドイツ・韓国・フランス が加わった枠組み 5 アイズ アライアンス+ が発足。
ファイズアイズは 第二次世界大戦中に米国と英国で締結された諜報に関する 秘密協定 UKUSA 協定 がベースになっており、第二次世界大戦後に カナダ・オーストラリア・ニュージーランドが加わって 国内 / 国際的に情報を収集・分析・共有している。

通信の匿名化

通信内容の秘匿化 に関連しているが VPN サービスを利用すると ISP を経由して VPN サーバに 接続して VPN サーバから 閲覧サイト へ接続するため、ISPだけでなく 閲覧サイトのサーバにも VPN サーバの IP アドレスしか記録されない。

通常 ユーザーの身元は 接続元の IP アドレス を ISP で照合して 割り出されるが、VPN サービスを利用することで ユーザー のアクティビティは VPN サーバ への接続のみになり、接続元を 隠蔽・偽装 できる。

VPN プロバイダ の多くは 世界各国に サーバを設置しているため、海外からの接続を受け付けていない サイトへは 対象国 の VPNサーバに接続することで アクセスが可能になる。

VPN プロバイダ

VPN は 通信の安全性 と プライバシー保護 に 有用なサービスだが、VPN プロバイダ は ISP と同じく ユーザーの トラフィック情報を収集可能で、VPN プロバイダ の 信頼性 が重要になる。

VPN プロバイダ には ノーログポリシーを採用していないところも多く、特に 無料で提供されている モバイル用の VPN アプリでは ユーザーのアクティビティを 広告 や トラフィックの分析 データとして利用したり、プライバシーポリシーに 収集した データの 利用方法が記載されていないなど 信頼に値しないサービスがある。

How to setup a VPN-004

第三機関からの監査 は VPN プロバイダ選定時に 安全性の担保になる。

セキュリティ機関から 監査を受けている VPN プロバイダは レポートを公開している。
ノーログポリシー

VPN プロバイダ は ISP と同じ ユーザーの行動履歴を 記録できるため、行動履歴を完全に秘匿したい場合は アクセスログを保存しないノーログポリシーの採用が必須。

DNSリーク ( DNS 漏れ )

VPN サービスでは  VPN プロバイダ が提供している 暗号化された DNS サーバを利用するのが一般的で アクセス元の IPアドレスは 見えないのだが、本来 見えないはずの IP アドレスが見えてしまっている状態が DNS リーク ( DNS 漏れ ) と呼ばれる。

How to setup a VPN-005

暗号化された DNS サーバへの接続が 切断されると DNSクエリは 暗号化されていない ISP の DNSサーバ などに転送されて 通信を維持するため、VPN サービスは 強制的にネットワークを遮断する キルスイッチ 機能を実装して DNSリークを阻止している。

プロバイダの拠点

ノーログポリシーを採用している プロバイダであっても 公的機関から法的に 特定 IP アドレスの監視 や アカウントのロギング を強制される可能性があり、プロバイダの拠点も サービス選択時の指標になる。

プライバシーヘイブン と呼ばれる イギリス領ヴァージン諸島 ・パナマ・セイシェル・ケイマン諸島・マレーシア は 法的に ユーザーのプライバシーが保護されており、トップ VPN プロバイダ が 拠点を置いていることが多い。
令状のカナリア ( Warrant Canary )

令状のカナリア は VPN プロバイダ など 個人情報  を取り扱う企業が 公的機関 から データ提出要求を受けていないことを表している。

How to setup a VPN-003

令状のカナリア に 法的な根拠はなく、 安全性を保証したものでもないが、プライバシー保護 の 1つの指標になる。

テストツール

VPN プロバイダ の サイトには IP アドレスチェッカーDNSリークテストWebRTCリークテスト などが 設置されており、アクセスすると 漏洩している と表示される。

VPN-002

サイトに設置してあるツールは 自社の VPNサービス以外 の環境からのアクセスは すべて漏洩 と表示されるので、まったく信用に値しない。

DNS リークの確認

DNSリーク の確認は プロバイダのサイトではなく、テストサイトにアクセスして確認する。

IP Leak.net

VPN-012

IP Leak.net の場合 Your IP addressDNS Address が同じ IP アドレスで、接続した VPNサーバ の 国が表示されていれば DNS 漏れはない。

IObit-017

DNS漏れ が 発生している場合は DNSサーバ が 国内になるなど 接続先の サーバ と違っている。

通信速度の確認

VPN アプリで 最速サーバ に接続して 通信速度の確認を行う。

SPEEDTEST

VPN-013

VPN 接続時 と 未接続時 で測定して 大きな速度低下がないことを確認する。

プロバイダの統合

近年 VPN プロバイダ は 買収によって統合が進んでいるが、親会社 や 運営の実態が不透明なケースも多い。

Nord Security

リトアニアの Nord SecurityNordVPN を提供している VPN のトッププロバイダ。

  • 2021年10月 : Atlas VPNを買収
  • 2022年 2月 : Surfsharkと合併
Kape Technologies

Kape Technologies PLC は イスラエルの富豪 Teddy Sagi 氏 が所有する サイバーセキュリティ会社。

  • 2017年3月 : Cyber​​Ghost を買収
  • 2018年10月 : ZenmateVPN を買収
  • 2019年 11月 : Private Internet Accessを買収
  • 2021年 9月 : ExpressVPN を買収
Kape Technologies の前身は ブラウザ拡張機能を開発した Crossrider で、開発したプログラムがマルウェアに利用されたことから 悪名を轟かせ、Teddy Sagi 氏も過去に 賄賂と詐欺の罪で有罪になったこともあり、買収された VPNサービスの安全性が危ぶまれているが、 Crossrider は 2016年に 経営陣を一新して プログラム開発会社 から サイバーセキュリティ会社に転向、買収された VPNプロバイダ も 独立運営している。

VPN比較サイト

VPN サービスの多くは アフィリエイトプログラムを提供しており、VPN の比較サイト や ランキングサイトには 収益を重視したものや、VPN プロバイダの グループ会社が開設しているものもある。

VPN-001

ランキングの指標は 通信速度アクティブログ拠点匿名性ストリーミングサービスのサポート価格 などだが、通信速度 については 接続元・接続先 のロケーションによって異なるため、実際に接続するまで分からない。

VPN の信頼を損なう事案

第三機関からの監査がない VPN プロバイダは データ処理が不透明で、実際に問題も発生している。

PureVPN によるネットワークログの提供 問題

2017 年 ノーログポリシーを採用しているはずの PureVPN は 米国 FBI の要請に応じて ネットワークログ ( ユーザーが PureVPN に接続した記録 ) を提出して ユーザーの特定に協力。
PureVPN は 提出した ネットワークログ は トラブルシューティングなどで使用するために自動生成されるもので、 ユーザーのアクティビティは保存されていないと釈明しているが ノーログポリシー の 信頼性が大きく損なわれることになった。

2018年に PureVPN は プライバシーポリシーを改定して 米国の情報システム監査人 Altius IT より ゼロログ認定を受けており、現在はユーザーのアクティブログから個人を特定することができない。
Hotspot Shield Free VPN による 広告ネットワークへのルーティング問題

2017年 米国に本拠を置く 非営利団体 Center for Democracy & Technology は   Hotspot Shield Free VPN が ユーザートラフィックを広告ネットワークへルーティングしていることを指摘。
当時の Hotspot Shield Free VPN のプライバシーポリシーは ユーザートラフィックが保存され、第三者に開示できるという内容になっていた。

Hotspot Shield Free VPN は 2018年 6月 に プライバシーポリシーを改定し、ユーザートラフィックは保存せず、Hotspot Shield Free VPNのみ ユーザーの位置情報が広告に使用されるなど、表記が具体的になり 以前よりもプライバシー保護が強化された内容になった。
Onavo Protect による ユーザーデータ収集の問題

Facebook に買収された イスラエルのソフトウェアベンダー Onavo は、提供していた 無料 VPN アプリ Onavo Protect を 使用して送信されてきたトラフィックを分析し、Facebook が買収などの営業戦略に利用していたことが明るみに出て大きな問題になり、VPN アプリ が スパイウェア として機能することを知らしめる事になった。

Onavo Protect は Google Playストア から 削除されている。
Hola VPN による 出口ノード利用と トラフィック販売 問題

イスラエル の ソフトウェアベンダー Hola が提供していた Hola VPN では、 ユーザー のデバイスを 出口ノード ( 最終的にサーバへアクセスする IP ) として使用していることが発覚し、VPN ユーザー の 帯域幅が 1GB あたり 20ドルで販売されていた。

出口ノードとして犯罪に利用された場合 パソコン遠隔操作事件 のように 全く覚えのない犯行の容疑者として検挙される可能性がある。

関連記事

google-icon

Google の 個人情報収集 と 脱Google の手引き

個人情報を収集する Google サービス からの脱却 と 代替えサービス  DeGoogle 活動 は Google をネットライフから排除する ことを掲げた 草の根運動 で、Google からの脱却と プライバシー保 […]

Infect-icon

フィッシングとスパムメール

スパムメール の定義 と フィッシングメールの実例 スパムメール ( 迷惑メール ) は  受信者リストを使用して 一方的 に 大量送信される 迷惑メール で、米国 ホーメル・フーズが販売している ランチョンミート SP […]

Reports-icon

ヤコ オーブン陶土で オリジナルの陶器を制作

オーブンで焼成が可能な ヤコのオーブン陶土を使ってオリジナルのウォーターディッシュを作成 ヤコ オーブン陶土 は 陶土を使用して成形した 作品を 家庭用オーブンで 焼成でき、オーブン陶土セット に付属の 手引書 を参考に […]

Reports-icon

Tor でアクセスする 闇サイト

匿名化ブラウザ Tor でアクセスする無法地帯 ウェブサイトには Google などの 検索エンジンに表示される サーフェスウェブ ( 表層ウェブ ) と 検索エンジンに 表示されない ディープウェブ ( 深層ウェブ ) […]

dvd-shrink0011

フリーソフトを使用する前に

フリーソフト を使用する前に知っておきたい基礎知識 スマートフォンが普及して モバイルアプリで 広告 や 個人情報の収集による収益化が図れるようになったため、Windows で動作する現行のフリーソフトは オープンソース […]