VPNはあなたが思っているほど安全ではない

VPN（仮想プライベートネットワーク）は、インターネットを介してデバイス間のプライベートネットワーク接続を構築します。VPNは、データを安全かつ匿名で転送するために使用されます。このツールは、ブロックされたり地理的に制限されたウェブサイトやアプリケーションにアクセスする際に、いくつかの利点を提供します。

しかし、VPNサービスの急増により、法的およびプライバシーに関する懸念が高まっています。多くの専門家は、VPNの使用は必ずしも安全ではないと考えています。

犯罪者のカモフラージュ

VPNは人気があるにもかかわらず、それを提供する企業は法的に不透明であることが多いです。曖昧で複雑なポリシーやデータの所有権の連鎖を維持している傾向があります。

現在、最大規模の仮想プライベートネットワーク（VPN）サービスプロバイダーの一つがNordVPNです。トム・オクマン氏とエイマンタス・サバリアウスカス氏という2人の起業家によって設立された同社は、現在、世界60カ国に5,500台以上のサーバーを保有しています。

タイム誌はNordVPNを2022年の最高の発明の一つに挙げ、必須のセキュリティツールだと評しました。しかし、閲覧データを隠蔽する機能は、サイバー犯罪者や違法行為に悪用されています。

リトアニアのビリニュスにある NordVPN オフィス。写真:ケイラ・カウフマン/フェリックス・フォン・デア・オステン。

ラッパーのドレイクは、インスタグラムの投稿で、NordVPNを使ってオンラインギャンブルをしている様子が映っている。一方、FTXの元CEOサム・バンクマン＝フリードは、保護観察中にプライベートネットワークを使ってスーパーボウルを視聴していたと報じられた後、裁判所からVPNの使用を禁止された。

今年初め、ドイツ、オランダ、カナダ、チェコ共和国、フランス、ハンガリー、ラトビア、ウクライナ、米国、英国の警察は、サイバー犯罪者がランサムウェアを拡散するために使用していたオンラインセキュリティサービス「VPNLab.net」を閉鎖した。

Top10VPNのデータによると、ロシアとウクライナの紛争が勃発し、同国の人々が Facebook や Twitter にアクセスできなくなった後、ロシア人の VPN への関心は 1,000% 以上増加しました。

Nord Securityは、1億ドルの資金を調達し、評価額が16億ドルに達し、世界で最も価値のあるVPNスタートアップ企業となりました。Kape氏のExpressVPNと共に、Nordは急成長を遂げる業界の顔となりました。

私たちが調査したほとんどの VPN セキュリティ対策は効果がありませんでした。

ミシガン大学のコンピュータサイエンス教授、ロイア・エンサフィ氏

それでも、セキュリティ専門家は、ユーザーはVPNをプライバシーの保証として頼るべきではないと警告している。ミシガン大学のコンピュータサイエンス教授、ロイア・エンサフィ氏は、彼女と同僚たちはVPNメーカーが自社のサービスを偽って宣伝していることを発見したと述べた。

彼女によると、インターネットサービスプロバイダー（ISP）はトラフィックに基づいて誰がVPNを使用しているかを簡単に把握できるという。場合によっては、政府やISPがVPN接続を一時的に遮断し、ユーザーの機密性の高い個人情報を漏洩させることもある。

「私たちが調査したVPNセキュリティ対策のほとんどは効果がありませんでした。一部の企業はユーザーデータを収集したり、トラフィックログを保存したりしていることも判明しました」と専門家は述べています。

2017年、ウォール・ストリート・ジャーナルは、Facebookが運営する無料VPNサービス「Onavo Protect」が、ユーザーが競合ソーシャルネットワークにアクセスする頻度を追跡していたと報じました。Facebookはその後、収集していた情報を公開し、Onavoを閉鎖しました。

あまり安全ではない

スコットランドのアバテイ大学の博士課程の学生、ジャック・ウィルソン氏は、VPNが実際に行うことは、ユーザーからサービスを提供する企業への「信頼の移転」だけだと述べた。

「VPNエコシステムはハッカーのために生まれた」とHideMyAssの従業員、ジョバン・ペトロヴィッチ氏は述べた。同氏は、VPNは主にNetflixの視聴やブロックされたコンテンツのダウンロードに利用されていると述べ、VPNが優れたセキュリティ製品になったことは一度もないと説明した。

NordVPN の創設者である Tom Okman 氏と Eimantas Sabaliauskas 氏。写真:ケイラ・カウフマン/フェリックス・フォン・デア・オステン。

「データをダウンロードし、オンラインで映画やポルノを見るだけだ」と彼はブルームバーグに語った。

NordをはじめとするVPN企業は、データプライバシーに関する消費者の懸念をしばしば悪用しています。2017年、米国政府は、ISPがユーザーの閲覧履歴をマーケティング企業に共有または販売する前に許可を求めることを義務付ける法律を撤廃しました。

これにより、その後まもなく、NordVPN の米国ユーザーベースはほぼ 4 倍に増加しました。

NordVPNの元従業員カジミエラス・セリエシウス氏は、同社の長年にわたる広告キャンペーンは専門知識がほとんどないか全くない顧客層をターゲットにすることが多かったと語った。

「私はこれを『テクノロジー非依存層』と呼んでいます。テレビの広告を見て購入しても、電源の入れ方すら知らないのです。中には軍事レベルの暗号化を謳い、データが漏洩することは絶対にないと謳う広告もあります」とセリエシウス氏は述べた。

VPN事業者はマーケティングを通じて顧客の信頼を獲得してきました。Celiesius氏はまた、評判の高いVPNレビューサイトであるCybernewsがNordVPNと直接的な関係を持っていることを示唆しました。

つまり、どちらをより信頼しますか? ISP か、それとも VNP 会社か。

アバテイ大学博士課程の学生、ジャック・ウィルソン

「顧客は信頼できるVPNを見つけることができません。データセンターにアクセスして、プロバイダーのサーバーが保護されているかどうかを確認したり、Nordが自分のウェブトラフィックを隠しているかどうかを確認したりすることができません」と元従業員は続けた。

2019年、Bloonbergは、フィンランドのデータセンターにあるNordのインフラが侵害されたと報告し、NordVPNのユーザーデータが漏洩する可能性があるという懸念が高まった。

2021年9月、KapeはExpressVPNブランドを9億3600万ドルで買収しました。Kapeの製品は以前、開発者がユーザーのコンピュータに広告をこっそりと表示することを可能にしていたため、この買収により仮想プライベートネットワークの安全性に関するさらなる疑問が生じました。

セキュリティ専門家は、VPNユーザーも攻撃から逃れられないと警告しています。NordVPNはユーザーのメールアドレスと支払い情報をファイルに保存しており、ユーザーを特定する方法は複数あります。