以下の文章は、電子フロンティア財団の「Virtual(ly) Private Network: NordVPN’s Breach and the Limitations of VPNs」という記事を翻訳したものである。

Electronic Frontier Foundation

UPDATE(2019年11月8日):NordVPNユーザのクレデンシャルは今回の侵入によるものでないことを確認した。

人気のVPNプロバイダ「NordVPN」は先日、外部データセンターがハッキングを受けていたことを明らかにした(訳註:日本語記事)。NordVPNは同社の主要サービスが今回の侵入で影響を受けることはないとユーザを安心させようとしているが、NordVPNユーザの認証情報がクレデンシャル・スタッフィング攻撃(パスワードリスト攻撃)に使用されたとの報告もある。NordVPNは今回の不正侵入と当該のクレデンシャル・スタッフィング攻撃との関連性は確認されていないと強調しているが、心配なのであれば、haveibeenpwned.comにて過去の情報漏えいで自分の情報が漏洩しているかを確認できる。

この不正侵入のニュースを受けて、オンラインの安全性とセキュリティのために有用なツールとは一体何なのかという疑問が浮上している。商用VPN市場が飽和し、多くのユーザがプライバシーを重視するようになった現在、ユーザはVPNがどのように機能し、どのような限界があるのかを理解すべきだろう。VPNはユーザの安全性を確保するツールとして有用ではあるが、VPNが何をして、何をしていないか、どのようにしてユーザにより良い保護を提供しているのかなどについて理解していくべき点はいくつもある。

VPNとはなにか

バーチャル・プライベート・ネットワーク(virtual private network: VPN)は、インターネットの向う側にある組織のネットワークに安全に接続する手段である。VPNに接続すると、ウェブ閲覧情報はすべてインターネットサービスプロバイダ(ISP)ではなく、VPN自体から発信されているように見える。そうした情報には、コンタクトフォームへの入力、クレジットカード情報などのセンシティブな情報が含まれる。

VPNを使用すると、ISPから割り当てられたIPアドレスがアクセス先のサイトから隠され、プライバシー・レイヤが1枚追加される。発信元のIPアドレスを隠すだけでなく、サイトにアクセスするまでの経路上のデータが暗号化される。

上図は、左側にユーザのコンピュータ、右端に目的のサービス(example.com)のサーバを示している。HTTPSはまず、訪問先のサイトに対してユーザを暗号化する。ユーザの情報はコンピュータから送信されるが、VPNはユーザのルータやISPからメタデータやページレベル情報などの情報を隠す。

VPNにできること

カフェなどのパブリックWifiネットワークでVPNを使用すると、そのネットワークに接続されている観察者からデータを保護できる。

また学校のインターネット接続や特定のコンテンツを遮断している国など、特定のサイトやサービスをブロッキングするネットワークでのインターネット検閲を回避することもできる。

VPNの商用需要が高まる以前から、企業はVPNを利用し、従業員がイントラネット内の企業サイト/サービスにアクセスできるようにしてきた。

VPNにできないこと

商用VPNは世界各国にサーバを置いていることが多く、ログの取得・保存についてはその国の法執行機関の要請に従わなくてはならない。その場合、VPNは法執行機関による監視やアクセスを完全に阻止することはできず、ユーザの身元を完全に匿名化することもできない。たとえブラウジング情報が暗号化されていたとしても、VPNが完全に守ってくれるというわけではなく、ブラウザのフィンガープリント(訳註:日本語解説記事)など、さまざまなタイプの追跡を受ける可能性がある。

また、VPNや伝送中〈data-in-transit〉暗号化(たとえばHTTPS://サイト)では、訪問先のサイトの完全性は保証されないという点にも注意が必要だ。VPNでは、サイトのサーバや脆弱なネットワークへの悪意ある攻撃からユーザを保護することはできない。

VPNサービスがなすべきこと

ユーザのニーズに最適なVPNサービスの選択は難しく、その有効性についてすごそうな謳い文句で売り込むサービスが多数存在している。だが、VPN業界は長年に渡ってウィルス対策業界が犯してきたような過ちを繰り返してはならない。VPNを選択するということは、第三者に自分の情報を託すということである。単に情報を暗号化するだけでなく、自ら提供するサービスについて可能な限り透明性を高めなくてはならない。

  • してはならない:非現実的なセキュリティを約束する広告で、多くの加入者を獲得しようとすること。その約束が果たされなければ、ユーザは不信感を持ち、最終的に本来必要なはずのサービスを敬遠し、無関心なユーザが生まれることになるだろう。「銀行並みの暗号化」「軍隊並みの暗号化」などの謳い文句は、一般のユーザに暗号化の強力さやアクセス可能性を伝えるには何の役にも立たない。暗号強度や、暗号復号アルゴリズムを謳ったところで、ユーザのプライバシーに対するインフラの強力さやその詳細を伝えられるわけではない。すべてとは言わないが、大抵の主要VPNサービスでは強力な暗号〈Cipher〉が利用可能だ。
  • してはならない:不正侵入の開示を遅らせる、またはしないこと。情報へのアクセスの有無に関わらず、インシデントが発生し、確認された時点で、完全かつ迅速に情報を開示しなくてはならない。
  • しなくてはならない:ユーザログの使用・保存に関する透明性の高いポリシーを設けること。そうすることで、ユーザが同意・信頼しうる情報の程度に基づいて、より理解を深めたユーザベースを築くことができるだろう。
  • しなくてはならない:サーバを明示的にマッピングおよび監査し、サービスにどの国の法律が適用されるを概説すること。こうした情報を提供することで、ユーザはさまざまな法域における法執行の潜在的リスクの程度について、情報に基づいた判断を下すことができる。

商用VPNは、ユーザに明示・通知せずにトラフィックの暗号化を解除できるモバイルデバイスではとりわけ有用だ。デスクトップブラウザであれば強制的なHTTPS(HTTPS Everywhere )で防げるが、多くのユーザはモバイルデバイスのアプリケーショントラフィックでHTTPSが使用されているかどうかを確認できない。これこそVPNサービスが埋めることのできるギャップであり、同時に真剣に向き合わねばならない責任でもあるのだ。

Virtual(ly) Private Network: NordVPN’s Breach and the Limitations of VPNs | Electronic Frontier Foundation

Author: Alexis Hancock (EFF) / CC BY 3.0 US
Publication Date: November 05, 2019
Translation: heatwave_p2p
Material of Header Image: Madskip / Michael Aleo