ハクソク

世界を動かす技術を、日本語で。

あなたのVPNの所有者、運営者、開発者が重要です

2025年9月4日原文(opentech.fund)

概要

  • ICFPフェローBenjamin Mixon-Baca による新研究が、著名な商用VPNアプリ8社の 所有権・運営の不透明性 と重大な セキュリティ問題 を指摘。
  • これらVPNは 7億人以上の利用者 を持ち、一部は 中国人民解放軍(PLA)との関連 が判明。
  • 暗号化解除の脆弱性利用者情報の収集 など、深刻なリスクを内包。
  • 透明性の欠如 が利用者のプライバシーと安全性を大きく損なう現状。
  • 無料VPN のリスクが有料VPNよりも高い点を強調。

商用VPNの不透明性とリスク

  • Benjamin Mixon-Baca ら研究チームが、 Google Playストア で人気の32種VPNアプリの所有・運営実態を調査。
  • 21のVPNプロバイダーが配信し、 インド、インドネシア、ロシア、パキスタン、サウジアラビア、トルコ、UAE、バングラデシュ、エジプト、アルジェリア、シンガポール、ブラジル などで広く利用。
  • 透明性と匿名性 のバランスを多面的にスコア化し、利用者がより安全な選択をできるよう支援。
  • 2つのプロバイダー集団 が、所有・運営を隠蔽し、透明性に重大な問題。
    • INNOVATING CONNECTING LIMITED, AUTUMN BREEZE PTE. LIMITED, LEMON CLOVE PTE. LIMITED が1つ目の集団で、 Qihoo 360PLA との関連を確認。
    • 2つ目の集団は MATRIX MOBILE PTE. LTD.、ForeRaya Technologies PTE LTD、Wildlook Tech Pte Ltd.、Hong Kong Silence Technology、Yolo Technology Limited で、同様の隠蔽手法を使用。
    • いずれも アプリのコードやインフラの共通性 が認められ、運営実態を隠す意図が疑われる。

VPN透明性の重要性

  • VPN は、検閲回避やプライバシー保護のための 重要インフラ
  • プロバイダー選択時、利用者はISPからVPNプロバイダーへ信頼を移転することになり、 透明性の有無が重大な意味 を持つ。
  • 透明なプロバイダーは 監視や法的請求のリスク がある一方、匿名運営は 利用者が誰にデータを預けているか不明 となり、悪用リスクが増大。
  • 運営情報の公開開発元の明示 が不可欠だが、多くのプロバイダーはこれを隠蔽。

主なセキュリティ脆弱性

  • Shadowsocks をトンネリングに利用:本来は機密性を担保しない設計で、セキュリティVPNとしての利用は不適切。
  • ハードコーディングされた共通パスワード :全利用者でパスワードが共有され、ソースコード内に埋め込まれているため、攻撃者が容易に解読可能。
  • Blind-in/on-path攻撃への脆弱性 :通信の傍受・改竄が可能で、利用者のプライバシーが深刻に侵害される。
  • 利用者位置情報の抽出 :収集しないと主張しながら、実際には情報を取得。

無料VPNのリスク

  • 無料VPNアプリ (例:TurboVPN、VPN Proxy Master、Snap VPNなど)は、有料VPNよりも プライバシー・セキュリティリスクが高い
  • ユーザーデータの収益化倫理的に疑わしい運営 が指摘される。
  • 国籍偽装 (例:シンガポールを名乗りながら実際は中国関連)など、利用者を欺く事例も存在。

OTF情報統制フェローシッププログラムの概要

  • Open Technology Fund(OTF) のICFPは、 情報統制・検閲・人権侵害 の実態解明を支援。
  • 専門機関でのフェローシップ を通じ、調査・啓発活動を推進。

参考文献

Hackerたちの意見

商業用VPNは、過去10年間で最も利益を上げたビジネスモデルの一つになるだろうね。特定の使い方を除けば、彼らの販売は技術に詳しくないユーザーの「よくわからないことへの恐れ」を利用していることが多い。技術に詳しくない友達や親戚がこれに完全にハマっていて、VPNを使う理由を聞いたら、「セキュリティのために必要」とか「個人情報の盗難を防ぐため」とか、個人的に一番好きな「銀行口座を守るため」みたいな漠然とした答えしか返ってこなかった。誰一人として「自分のトラフィックを不明な仲介者を通してルーティングするためにお金を払っている」とか、「セキュリティを高めるために新しいルート証明書をインストールした」とは言わなかったよ。

僕の理由はシンプルだ:ISPにトレントのことで文句を言われたくないから。

ずっと前、Firesheepの時代やカフェのWi-Fiが爆発的に普及していた頃、消費者向けVPNサービスは確かに価値があった。でも、それはもう昔の話。今やHTTPSが標準だし、消費者向けVPNの使い道は(1)「違う地域にいるふりをして、見たかった番組をストリーミングする」と(2)「少しだけトレントをやりやすくする」くらいしかないみたい。シアトルに住んでいるけど、Mullvad VPNは最近公共交通機関の広告スペースをほぼ全部買い占めたみたい。彼らのメッセージは「インターネットを解放する」や「権力に立ち向かう」って感じで、すごくバカバカしいと思うし、VPNの必要性や理解が全くない新しい顧客を引き寄せるのにはかなり効果的だろうね。

ジオブロックされている暗号アプリにアクセスするためにVPNを使ってる。

Suddenlinkのケーブルインターネットの顧客だったけど、著作権トロールに私の個人情報を暴露すると脅された。月4ドルは、裁判所の判決に対する費用や、様々なストリーミングサービスやプレミアムケーブルチャンネルに加入するための250ドル以上の費用よりも安かった(雑誌や本、音楽、映画は小売価格で月4000ドル近くになるかも)。先週、「1924年からのブック・オブ・ザ・マンス・クラブを全部ダウンロードしたらどうなるだろう?」って考えた。VPNは効果的だ。Suddenstinkからはもう一通も嫌な手紙が来なかった。数ヶ月前、あるマイナーなウェブアプリの無料トライアルを一週間使って、そのデータを全部ダウンロードして、JavaScriptコンソールでjsonにフォーマットして、初めてのウェブアプリを海賊版にした。常にxhrコールをしているわけじゃないから、公式のものよりもサクサク動く。新しい海賊版の手法を発明してるんだ。僕たちの中には、他の人よりも熱心な人もいるよ。

知ってる非技術系の人たちのほとんどは、VPNを持ってるのは地理制限のあるストリーミングメディアを見るためだけだね。プロバイダーがサーバーやプロバイダーを禁止するから、まるで猫とネズミのゲームみたい。

自分のトラフィックをあまり知られてない仲介業者を通してルーティングするためにお金を払ってるよ。トラフィックの脅威モデルによるけど、トラフィック自体が敏感じゃない(またはすでに暗号化されてる)場合、発信元を隠したいなら効果的だね。

VPNを使う理由を聞いたら、「セキュリティのために必要」とか「アイデンティティの盗難を防ぐため」とか、具体的じゃない答えが返ってきた。まるでヘッドショップが「タバコ用の喫煙具」として水パイプを売ってるみたいだと思ったよ。ビジネスを尊重できるようにするためのカモフラージュだね。

賢い選択をするには、物事をよく考えて、何をしているのか、あるいはしないべきかを理解する必要がある。専門家も初心者と同じようにこれを怠ることがある。でも、主流の考えに対して疑念を表明するのは、感謝されないことが多くて、逆に人を怒らせることが多いから、あまり名誉はないよね。

逆に、今のところ「非技術的なユーザー」のVPNの使い方だけが私には理解できるんだよね。「このサイトにアクセスしたい/ストリーミングしたい/P2Pしたい。VPNなしではできない。だからVPNを使ってる」って感じ。それだけ。ドラマもないし、自己主張もないし、説教もない。ただのニーズなんだ。技術的なユーザーのVPNの使い方は、私には逆に謎で、ほとんどの場合、満足感やプラセボ以外の何も達成してない気がする。

https://en.wikipedia.org/wiki/Crypto_AG

現在、MullvadVPNはかなり良さそうだけど、他のVPN会社が借りられるような世界規模のVPNインフラを整備しているみたい。このことが、彼らの明言されていない長期的な目標(市場を独占すること)に対して少し不安を感じさせるけど、今のところ彼らが一番信頼できると思う。

Hacker Newsで議論の続きを見る