CookieHookey

あやしいVPN業界

Tech
Modified on :

ロシア政府のインターネット規制に対抗して、VPNの需要が高まっているという記事があった。 ロシア在住者にとっては緊急の要件だろうから、広く情報にアクセスするためには手段は選んでいられないかもしれない。

しかし、特に規制を受けていない国でVPNを使おうと考えるならば、一度注意して考えた方が良い代物だなと思う。このVPNの需要増加を根拠として、VPNは(何か)良いんですよみたいなことになりそうだ。市販のVPNについて調べてみると、相変わらず何か誇張されている気がする。特に、プライバシーの側面で触れられればと思う。

VPNとは

詳細はWikipediaとか、下記のMORE INFOとか参照。VPNが語られる文脈はいくつかある。本来重層的ではあるが、あえて分けるとプライバシー、セキュリティ、検閲回避といった側面がある。ざっくりと言うと、VPNを使用することで、デバイスからVPNサーバーまでを安全に接続できるのだが、あたかもVPNサーバーにいるかのようなネット環境になるということ。それによって、

セキュリティ

  • 信頼のおけないネットワーク(空港のWi-Fiとか)でも安心して利用できる

検閲回避(情報へのアクセス)

  • ISP(利用しているネットワーク)側の検閲を回避できる
  • Webサイト側の検閲を回避できる(地域制限のあるコンテンツの利用時など)

プライバシー

  • DNSやトラフィックの情報を曖昧し、ISP(利用しているネットワーク)に知られずに済む

市販のVPNとは関係ないが、本来は出先からLANに安全にアクセスする目的で利用される。 ちなみに、暗号化に関してはルールが国によってはあるので、VPNを使用することで、当局から疑いをかけられる事があるかもしれない。

思うことを羅列

市販のVPNについて調べていて、思ったことは以下。というよりツッコミと疑問。

  • VPNどうのこうの言えるのは、クライアントデバイスからVPNサーバー間だけで、どうやってもhttpにsはつけられないよな。
  • VPNは無敵なのか?VPN使ってもクライアントのIPアドレス、タイムスタンプ等のメタ情報はなくならないはず。
  • ノーログポリシーといいつつ、接続台数は5台までとか、帯域は月100GBまでとか。つっこみ待ちなのか!?
  • そうそうノーログポリシーでもリアルタイムで監視はOKだよな。
  • 1時間くらいまでなら、記録しててもノーログといっていいのかな。
  • ノーログなのか、どうやったらサーバーの設定確かめられるのだろう?
  • P2P禁止とか、そういった検閲もあるのか(驚)。
  • 独自のプロトコルを使うよりオープンプロトコルの方が透明性があると思うんだけど。
  • え、アプリはそれじゃないといけないの?OpenVPNとかWireGuardはダメ?
  • そのアプリのソースはどこで公開してるのでしょうか?
  • 証明書をインストールしてしまったら、SSLでも暗号化の意味なくなっちゃうよな。Cloudflareのプロキシと同じく注意しないといけないな。
  • ちなみにSSLの証明書って勝手にインストールされないよね!?
  • IPアドレス変えたくらいじゃ、トラッキングは対策できないと思うけれど。そもそもIPアドレスは大体が動的だよな。
  • それよりクッキーの管理の方が重要なはず。ブラウザFingerprintingについては触れないのかな?
  • アフィリエイトめちゃくちゃ多いな。こんなにアフィリエイトまみれのサイト当てにならない気がするけど。
  • あなた、おすすめ一体何個あるんですか?
  • おすすめランキングって、アフィリエイトのcommissionが多い順じゃないか(笑)。
  • アフィリエイトでマーケティングさせるって、信用が大事な業界で、逆に評判落としてないかな。
  • なんであなたの所のVPN使わないとDNS leakなんですか。
  • MullvadやRiseupVPNって言っちゃダメな言葉なの?

要するに

何かと疑わしい雰囲気がする業界だと思うということ。アフィリエイトが盛んと言うか、売り文句が出回っているというか。地域制限のあるコンテンツを見るためであったり、検閲回避を目的とするならば、あまり選ばなくてもいいかもしれないけど、セキュリティやプライバシーという文脈で語られる場合は、特に注意が必要だと感じた。

結局は、ISP等よりVPNサーバーを信頼しているのかどうかに尽きる。それは、VPNの運営会社自体だけでなく、データセンターであったり、本社の所在地(国)、利用するサーバーの所在地(国)という点も関連してくる。信頼に値しないと判断するならば、使わないという結論になる。

別の手段

VPNをVPS等のリモートサーバー上に(自分で)設置する方法もある。VPNがハニーポットの可能性がある一方で、VPSは他の目的にも利用されるものなので、その可能性は低くなる。VPS内部の設定は自分でできるため、コントロールできる範囲は広がるが、サーバー側のISPの検閲やログといった影響は残る。加えて固定IPであるため、プライバシー的側面ではより目立つ可能性もある。セキュリティ的側面ではVPSより専用サーバー(Dedicated, Bare metalとも言う)の方がいいらしいが、費用は高くなる。

VPNは、そもそもプライバシー的な側面を重視して生まれたものではないので、その点を重視するならばやはりTorを(組み合わせて)利用する方が良さそうだ。

最後に

極論ネット上にプライバシー(あるいはAnonimity)はないと思う。時間やリソースは必要だけども、Torでもたぶん同じ。Fから始まる3文字の組織は(Nも?)たくさんonionサーバーを設置して監視しているらしい。EntryとExitを抑えられた場合、メタ情報を合わせるとあたりがつけられるかも知れない。ISPやWebサイトは協力的だろう、いやそうせざるを得ない。結局は、シチュエーションによるだろうけれど。

もしオンライン上のプライバシーを考えるならば、VPNといった一部のテクノロジーに依存したり、そもそもテクノロジー自体に依存するよりも、全体的な戦略といったものの方が重要になるだろう。何に対するプライバシーなのかはまず考えるべきところ。 VPNは万能ではないから、状況・用途・用法を考慮して有効に使えるといいなと思った。

MORE INFO