ハクソク

世界を動かす技術を、日本語で。

あなたのVPNの所有者、運営者、開発者が重要です

249日前原文(opentech.fund)

概要

  • ICFPフェローBenjamin Mixon-Baca による新研究が、著名な商用VPNアプリ8社の 所有権・運営の不透明性 と重大な セキュリティ問題 を指摘。
  • これらVPNは 7億人以上の利用者 を持ち、一部は 中国人民解放軍(PLA)との関連 が判明。
  • 暗号化解除の脆弱性利用者情報の収集 など、深刻なリスクを内包。
  • 透明性の欠如 が利用者のプライバシーと安全性を大きく損なう現状。
  • 無料VPN のリスクが有料VPNよりも高い点を強調。

商用VPNの不透明性とリスク

  • Benjamin Mixon-Baca ら研究チームが、 Google Playストア で人気の32種VPNアプリの所有・運営実態を調査。
  • 21のVPNプロバイダーが配信し、 インド、インドネシア、ロシア、パキスタン、サウジアラビア、トルコ、UAE、バングラデシュ、エジプト、アルジェリア、シンガポール、ブラジル などで広く利用。
  • 透明性と匿名性 のバランスを多面的にスコア化し、利用者がより安全な選択をできるよう支援。
  • 2つのプロバイダー集団 が、所有・運営を隠蔽し、透明性に重大な問題。
    • INNOVATING CONNECTING LIMITED, AUTUMN BREEZE PTE. LIMITED, LEMON CLOVE PTE. LIMITED が1つ目の集団で、 Qihoo 360PLA との関連を確認。
    • 2つ目の集団は MATRIX MOBILE PTE. LTD.、ForeRaya Technologies PTE LTD、Wildlook Tech Pte Ltd.、Hong Kong Silence Technology、Yolo Technology Limited で、同様の隠蔽手法を使用。
    • いずれも アプリのコードやインフラの共通性 が認められ、運営実態を隠す意図が疑われる。

VPN透明性の重要性

  • VPN は、検閲回避やプライバシー保護のための 重要インフラ
  • プロバイダー選択時、利用者はISPからVPNプロバイダーへ信頼を移転することになり、 透明性の有無が重大な意味 を持つ。
  • 透明なプロバイダーは 監視や法的請求のリスク がある一方、匿名運営は 利用者が誰にデータを預けているか不明 となり、悪用リスクが増大。
  • 運営情報の公開開発元の明示 が不可欠だが、多くのプロバイダーはこれを隠蔽。

主なセキュリティ脆弱性

  • Shadowsocks をトンネリングに利用:本来は機密性を担保しない設計で、セキュリティVPNとしての利用は不適切。
  • ハードコーディングされた共通パスワード :全利用者でパスワードが共有され、ソースコード内に埋め込まれているため、攻撃者が容易に解読可能。
  • Blind-in/on-path攻撃への脆弱性 :通信の傍受・改竄が可能で、利用者のプライバシーが深刻に侵害される。
  • 利用者位置情報の抽出 :収集しないと主張しながら、実際には情報を取得。

無料VPNのリスク

  • 無料VPNアプリ (例:TurboVPN、VPN Proxy Master、Snap VPNなど)は、有料VPNよりも プライバシー・セキュリティリスクが高い
  • ユーザーデータの収益化倫理的に疑わしい運営 が指摘される。
  • 国籍偽装 (例:シンガポールを名乗りながら実際は中国関連)など、利用者を欺く事例も存在。

OTF情報統制フェローシッププログラムの概要

  • Open Technology Fund(OTF) のICFPは、 情報統制・検閲・人権侵害 の実態解明を支援。
  • 専門機関でのフェローシップ を通じ、調査・啓発活動を推進。

参考文献

Hackerたちの意見

商業用VPNは、過去10年間で最も利益を上げたビジネスモデルの一つになるだろうね。特定の使い方を除けば、彼らの販売は技術に詳しくないユーザーの「よくわからないことへの恐れ」を利用していることが多い。技術に詳しくない友達や親戚がこれに完全にハマっていて、VPNを使う理由を聞いたら、「セキュリティのために必要」とか「個人情報の盗難を防ぐため」とか、個人的に一番好きな「銀行口座を守るため」みたいな漠然とした答えしか返ってこなかった。誰一人として「自分のトラフィックを不明な仲介者を通してルーティングするためにお金を払っている」とか、「セキュリティを高めるために新しいルート証明書をインストールした」とは言わなかったよ。

僕の理由はシンプルだ:ISPにトレントのことで文句を言われたくないから。

ずっと前、Firesheepの時代やカフェのWi-Fiが爆発的に普及していた頃、消費者向けVPNサービスは確かに価値があった。でも、それはもう昔の話。今やHTTPSが標準だし、消費者向けVPNの使い道は(1)「違う地域にいるふりをして、見たかった番組をストリーミングする」と(2)「少しだけトレントをやりやすくする」くらいしかないみたい。シアトルに住んでいるけど、Mullvad VPNは最近公共交通機関の広告スペースをほぼ全部買い占めたみたい。彼らのメッセージは「インターネットを解放する」や「権力に立ち向かう」って感じで、すごくバカバカしいと思うし、VPNの必要性や理解が全くない新しい顧客を引き寄せるのにはかなり効果的だろうね。

ジオブロックされている暗号アプリにアクセスするためにVPNを使ってる。

Suddenlinkのケーブルインターネットの顧客だったけど、著作権トロールに私の個人情報を暴露すると脅された。月4ドルは、裁判所の判決に対する費用や、様々なストリーミングサービスやプレミアムケーブルチャンネルに加入するための250ドル以上の費用よりも安かった(雑誌や本、音楽、映画は小売価格で月4000ドル近くになるかも)。先週、「1924年からのブック・オブ・ザ・マンス・クラブを全部ダウンロードしたらどうなるだろう?」って考えた。VPNは効果的だ。Suddenstinkからはもう一通も嫌な手紙が来なかった。数ヶ月前、あるマイナーなウェブアプリの無料トライアルを一週間使って、そのデータを全部ダウンロードして、JavaScriptコンソールでjsonにフォーマットして、初めてのウェブアプリを海賊版にした。常にxhrコールをしているわけじゃないから、公式のものよりもサクサク動く。新しい海賊版の手法を発明してるんだ。僕たちの中には、他の人よりも熱心な人もいるよ。

知ってる非技術系の人たちのほとんどは、VPNを持ってるのは地理制限のあるストリーミングメディアを見るためだけだね。プロバイダーがサーバーやプロバイダーを禁止するから、まるで猫とネズミのゲームみたい。

自分のトラフィックをあまり知られてない仲介業者を通してルーティングするためにお金を払ってるよ。トラフィックの脅威モデルによるけど、トラフィック自体が敏感じゃない(またはすでに暗号化されてる)場合、発信元を隠したいなら効果的だね。

VPNを使う理由を聞いたら、「セキュリティのために必要」とか「アイデンティティの盗難を防ぐため」とか、具体的じゃない答えが返ってきた。まるでヘッドショップが「タバコ用の喫煙具」として水パイプを売ってるみたいだと思ったよ。ビジネスを尊重できるようにするためのカモフラージュだね。

賢い選択をするには、物事をよく考えて、何をしているのか、あるいはしないべきかを理解する必要がある。専門家も初心者と同じようにこれを怠ることがある。でも、主流の考えに対して疑念を表明するのは、感謝されないことが多くて、逆に人を怒らせることが多いから、あまり名誉はないよね。

逆に、今のところ「非技術的なユーザー」のVPNの使い方だけが私には理解できるんだよね。「このサイトにアクセスしたい/ストリーミングしたい/P2Pしたい。VPNなしではできない。だからVPNを使ってる」って感じ。それだけ。ドラマもないし、自己主張もないし、説教もない。ただのニーズなんだ。技術的なユーザーのVPNの使い方は、私には逆に謎で、ほとんどの場合、満足感やプラセボ以外の何も達成してない気がする。

https://en.wikipedia.org/wiki/Crypto_AG

現在、MullvadVPNはかなり良さそうだけど、他のVPN会社が借りられるような世界規模のVPNインフラを整備しているみたい。このことが、彼らの明言されていない長期的な目標(市場を独占すること)に対して少し不安を感じさせるけど、今のところ彼らが一番信頼できると思う。

Mullvadの市場シェアは、実際に怪しいほど大きな広告予算のおかげで市場を独占したNordVPNに比べると、まだかなり低いと思う。

もう何年もMullvadの顧客だけど、彼らのIPの多くがフラグが立ってるみたいで(たぶんスクレイピングとかのせい)、VPNを使ってると一部のサイトがほとんど使えなくなるんだ。Redditがその代表例だね。(前にどこかで、彼らはIPを更新しないって読んだことがあるけど(他のVPNとは違って?)、この件について特別な情報は持ってないよ。)

うちのインフラを使ってるパートナーは何社かいるけど(例えばMozilla)、ホワイトラベルソリューションとして支配しようとは思ってないんだ。実際、うちのインフラをホワイトラベルにしたいって言ってきた有名ブランドには断ったこともあるしね。長期的な目標については、オーナーの指針を見てみて:https://mullvad.net/en/blog/ownership-and-future-mullvad-vpn オンラインの大規模監視や検閲を無効にしたいんだ。Mullvadは起業を通じた政治的アクションだよ。利益の多くをオープンソースのソフトウェアやハードウェアプロジェクトに再投資して、Mullvadだけじゃなくて広いコミュニティにも利益をもたらしたいと思ってる。市場を「独占する」なんてことはしたくないし、それだと単一障害点になっちゃうからね。私たちの努力が市場を改善する手助けになればいいなと思ってる。

「ゼロトラスト」という概念は、企業がユーザーやネットワークを本質的に信頼しなくてもよいという意味だけじゃなくて、ユーザーも企業を本質的に信頼しなくてもよいという意味でもあるべきだと思う。VPNプロバイダーはみんな同じ2、3種類のVPNプロトコルを使っていて、セキュリティ保証やプライバシーの制限も似たようなものだ。去年、MASQUEリレーをいじってたけど、AppleのiCloud Private RelayもMASQUEリレーの一つ(実際には二つある)。MASQUEはトラフィックの分離を通じて本物のプライバシー向上を提供できるし、どの一つの当事者もトラフィックの出所と行き先を関連付けられないようにすることができる。VPNユーザーのプライバシーに関する懸念は、より良い技術で軽減できるかもしれない。リレーは今やAppleのOSに組み込まれているのに、まだ広く普及していないのが不思議だね。

なんでアメリカの人たちが企業をそんなに信頼するのか全然わからない。いろんなグループ(田舎、都市、保守、リベラルなど)と接触してるから、結構なサンプルサイズがあるけど、ほとんどの人が企業を過剰に信頼してるんだよね。そして、企業が自分を裏切ったときにショックを受ける。企業は3ヶ月の利益しか気にしてないから、信頼するのはやめた方がいいよ。

一部のVPNプロバイダーが、クライアント(VPNをインストールした人のコンピュータ)を使って、サイトをクロールしたり、クロール用のインフラをレンタルしたりして、普通の住宅トラフィックのように見せかける可能性はどれくらい現実的なんだろう?(これはどこかで聞いた憶測だけど)逆VPNみたいな感じで、片方ではクライアントがVPNの出口地点からインターネットにアクセスしているように見せつつ、もう片方では誰かが住宅のクライアントのふりをすることを可能にするってこと。

こういうことをする「無料」のVPNプロバイダーはいくつかあって、検索すればそのことについての記事が見つかるはずだよ。

これはVPNプロバイダーそのものではなくて、ほとんどのプロバイダーは自分の出口ノードをコントロールしたいと思ってる。ただ、商業用のプロキシの中には、消費者向けのマルウェアを通じてそれを実現しているものも結構ある。データを大量にスクレイピングして、禁止されないようにそれを使っているスタートアップの創業者を何人か知ってるよ。彼らが顧客に提供するインターフェースは、普通のSaaS「お金を払ってURLのリストを渡せば、ページのコンテンツを提供する」って感じで、エンドユーザーに提供されるインターフェースはゲームやあまり役に立たないユーティリティで、会社以外は誰もその怪しいことに気づいていない。

こういうことをするサービスはいくつかあって、例えばBrightDataがあるよ:> "Bright Dataは、世界中のどの国、都市、キャリア(ASN)でも実際のユーザーをエミュレートする能力を企業に提供する、世界最大の住宅プロキシIPネットワークです。[...] Bright Dataは、アプリケーションに実装されるSDK(ソフトウェア開発キット)を持っています。Bright SDKは、アプリユーザーにBright Dataのネットワークに参加する選択肢を提供することで、広告の魅力的な代替手段を提供します。Bright Dataネットワークに参加するユーザーごとに、Bright Dataはアプリケーションベンダーに月額料金を支払い、その価値をユーザーに広告を表示しないことで還元します。" これをやっているVPNプロバイダーの話は聞いたことがないけど、驚くことではないね。

トラフィックをプロキシすることで、ギガバイトあたり最大1ドル(マジで)もらえるアプリもあるんだよ。しかも、これって違法でもないし、怪しくもない。大企業同士が競争したり潰し合ったりするのを手伝ってお金をもらうのに何の問題も感じないよ。おまけに、Cloudflareを排除する手助けにもなるしね。Cloudflareは、プロキシが増えるほどISPにキャプチャを多く出すから、全てのISPがキャプチャだらけになったら、ユーザーはみんなCloudflareを嫌うことになる。これは一攫千金のスキームじゃないし、その価格でプロキシの需要は低いけどね。特定の会社を宣伝するつもりはないから、「モバイルデータを共有してお金をもらう」みたいなことをググってみて。

ここにいる人たちは、VPNプロバイダーよりも自分のISPを信頼してるのかな?それが問題だよね!一方で、エンドポイントからのプライバシーに関して言えば、ユーザーはIPアドレスに関係なく特定される可能性がある。fingerprint.comにアクセスしてみて、識別子を取得して、その後プライバシーVPNに接続して時々サーバーを変更すればいい。ウェブサイトはあなたを特定して、先週その場所から訪れた同じユーザーだと言って、訪問回数も教えてくれる。ブラウザ(Torを除く)は、IPアドレスなしでも正確な特定が可能なほど多くのデータを送信するし、ユーザーが必要な情報を提供しないとサービスが利用できなくなることもあるけど、その情報はランダム化されることもある。

最近は、二段階認証の名のもとに電話番号を要求するサイトが気になってる。今では、個人を特定する情報の中で最も追跡しやすい部分かもしれないね。

外国のVPNサービスプロバイダーよりも自分のISPを信頼してるよ。権利を侵害されたらISPを訴える選択肢があるからね。匿名性については、政治的な話題では気にしなくなった。匿名でない方がオンラインでより礼儀正しくなれるし、自分が話したいことにもっと気を使うようになったから。(もちろん、民主主義の中で生きる特権があるからこう考えられるんだけど。)

うわ、インコグニートモードって少なくとも何かしらの隠蔽があると思ってたのに。https://coveryourtracks.eff.org 「Canvasフィンガープリンティング」や、自分のブラウザがサイトにCPUの数を教えてるなんて全然知らなかった。

MullvadやiVPNみたいなVPNは、ISPよりも絶対に信頼してる。これがVPNを使う大きな理由なんだよね。

VPNを使う理由は、NATと共有パブリックIPをやってくれるから。自宅の接続のパブリックIPとタイムスタンプが、私の物理的な住所を一意に特定しちゃうんだ。あと、ISPは怪しいし、DNSやSNIを嗅ぎ取って、私の名前や住所、電話番号を知ってるから、全部まとめて売っちゃうんだよね。

もし怪しいことや、ひどく違法なことをする必要があったら、VPNを使うかもしれないけど、自己ホストして7つのプロキシの後ろに隠れるかな。それか、TORを使って少しOPSECを意識するかも。

国家の標的になるようなことにはVPNを使わないよ。自分の管轄外で暗号通貨を取引したり、ISPにトレントの苦情が来ないようにしたり、信頼できないWi-Fiネットワークから自分のトラフィックを隠したりするために使ってる。これらのことには、VPNを剥がす価値があるほどの金や力はないから、これで十分だと思ってる。

VPN比較表 https://docs.google.com/spreadsheets/d/1ijfqfLrJWLUVBfJZ_Yal...

誰もiCloud Relayスタイルのマルチパーティリレーについて言及してないのが驚きだね。https://www.privacyguides.org/articles/2024/11/17/where-are-... これは既存のVPNの信頼モデルを大幅に改善して、「誰が」(接続IP、潜在的な支払い情報など)と「何を」(IPトラフィック)を分けることで、悪意があったり妥協されたりする単一のエンティティを信頼する必要がなくなるんだ。ちなみに、私はobscura.netを運営していて、Mullvad(私たちのパートナー)を出口ホップとして使ってるよ。

それじゃあ、今は一つのプロバイダーじゃなくて、二つのプロバイダーがちゃんとやることを信じなきゃいけないの?

https://en.wikipedia.org/wiki/Operation_Rubicon