以下の文章は、TorrentFreakの「VPN Users’ Anonymity Under Threat Following Indian Security Order」という記事を翻訳したものである。

TorrentFreak

昨年、犯罪者が匿名性を保つために暗号化を悪用しているとして、インド議会の委員会は政府にVPNを禁止するよう要請した。この要請が実現することはなかったが、電子情報技術省がこの程発表した新たなセキュリティ指令(direction)により、オンラインの匿名性は失われることになるかもしれない。

アイデア、知識、意見を仲間と自由に共有・アクセスできるべきであるという理念は、全人類に普遍的に受け入れられたスタンダードである。だが問題は、「自由」の定義が人によって大きく異なり、さらにはその定義はごく一握りの人びとによって決定されることが多いということである。

すでにオンライン上では、真の自由が脅かされている。政府は家族の安全や経済の強靭さを保つためとして、インターネットの「自国」の部分を厳しくコントロールするようになった。ここでほんの少しだけ自由を狭めれば……、こちらでも別の自由をわずかに諦めれば……と、あたかも取るに足らない犠牲だと吹聴しながら。

しかし、一旦こうしたシステムができあがってしまうと、政府はそのシステムを使って、反対意見や都合の悪いニュース、内部告発、そしてあらゆる情報を人びとから遠ざけ、知識に基づいて自分の頭で考える力から市民を「保護」することができる。VPNを早くから採用してきた人たちは、このことを何年も前から認識していた。そして、VPNを使うことで選択肢を保ち続けようとする人びとが増えるにつれ、一部の政府はVPNを制限・全面禁止しなければならないと主張するようになった。

インドでのVPN禁止の呼びかけ

世界中の多くの国と同様に、インドでも特定のオンライン・コンテンツを違法とする法律が導入されている。例えば、著作権侵害やポルノを理由に数千のウェブサイトがブロッキングされている。しかし現在、インドでは国家安全保障の名のもとに、政治的な抗議を抑圧するために検閲が行われている。Twitterに対し、反対派の検閲を拒否すれば同社幹部を刑務所送りにするという脅しをかけるほどにエスカレートしているのである。

セキュリティと匿名性を高めれば、自由に情報を吸収・発信できるようになる。VPNは万能の解決策ではないが、インターネットアクセスのフィルタリングを回避し、自由を回復するためのツールではある。その結果、インド政府(だけに限らないが)は、VPNを脅威とみなすようになった。

昨年、インド議会の常設委員会は、VPNが犯罪者にオンラインでの匿名性を与えているとして、VPNの全面禁止を要請した。ISPにVPNを強制ブロッキングさせ、それをくぐり抜けるVPNもオンラインでの監視を強化して一掃するよう電子情報技術省に求めたのである。

政府はVPNの全面禁止には応じなかったものの、インドのITセクターへの新たな指令により、VPN自体が禁止されないにしても、当局がVPNユーザを特定可能になることが明らかになった。

「安全・安心なインターネット」のためのセキュリティ対策

インド・コンピュータ緊急対応チーム(CERT-In)はオンラインセキュリティの国家機関として、サイバー脅威を分析し、サービスプロバイダ、仲介事業者、データセンター、企業からログ情報を取得している。CERT-Inは最近、「インシデント」分析能力の間隙を特定し、国内で「安心・安全なインターネット」を確保するために、インターネットサービスを提供する企業に指令をだした。

この指令は、セキュリティ・インシデントへの対応の改善に主眼が置かれているが、すべてのサービスプロバイダ、仲介事業者、データセンターに対し、ログを取得・保持するよう命じてもいる。このログには180日分のイベントログが含まれ、インドの管轄区域内で管理するとともに、(訳注:当局の要請に応じて)簡単にアクセスできるようにしなければならない。その他のサービス・プロバイダについては、さらに厳格な要件が課されている。

VPNプロバイダは匿名化を提供してはならず、ログを保持しなければならない

優れたVPNサービスは、いささかの注意は必要ではあるが(それぞれプロバイダによって異なる)、ユーザに部分的、あるいは完全な匿名性を提供する。多くの場合、少なくとも部分的には、特定のユーザと任意の時点のIPアドレスとを結びつけるログを保持しないことによって、これを実現している。インド当局の指令は、このビジネスモデルを真っ向から否定する。

すべてのVPNサービス、データセンター、VPS(仮想専用サーバ)プロバイダ、クラウドサービスは、様々な情報・ログを少なくとも5年間、さらに政府が法改正を行った場合にはそれ以上の期間、保管しなければならない。検閲を回避する匿名性ツールとしてのVPNサービスの性質を考えれば、極めて大きな打撃と言えるだろう。

vpntap.comなどの国外VPNサービスであれば、登録にはメールアドレスだけで十分というケースがほとんどだ。だが今後、インドのVPNプロバイダは、加入者の実名、住所、電話番号の取得を義務づけられることになり、提供された情報がすべて正確であることを確認しなければならない。

また、プロバイダは、ユーザの電子メールアドレス、IPアドレス、登録時のタイムスタンプを記録し、加入者の意思表示――つまりVPNをどのような目的で使用するのかを説明させることも義務づけられることになる。

さらに、加入者に割り当てられたすべてのIPアドレスは、「利用期間」(日時)のログとともに保持しなければならない。すべてのサービスプロバイダは、業界全体で統一された精度でそれを実施するために、指定されたNTPサーバと時計を同期させなければならない。

VPNユーザとプロバイダへの影響

この指令の影響がどれほどのものになるかは現時点では不明だが、インド国内のVPNプロバイダに大きな影響を及ぼすことになるだろう。インドにサーバを置く国外VPNプロバイダにも、何らかの影響があることが予想される。

システム全体でユーザのログを保持しなければならないというのは、一般には匿名性に相容れない環境となるため、一部のVPNプロバイダは、インド国内でのビジネスを縮小・撤退まで検討するかもしれない。特に、違反した場合には実刑判決がくだされるおそれがあるとなれば、なおさらだろう。

指令の全文はこちら(pdf)。

VPN Users’ Anonymity Under Threat Following Indian Security Order * TorrentFreak

Author: / TorrentFreak (CC BY-NC 3.0)
Publication Date: March 5, 2022
Translation: heatwave_p2p
Material of Header image: Sunghwan Yoon / (CC BY-SA 2.0)