VPNログの真実

Nikita
Nikita
2022年6月9日
技術製品の機能は消費者を惹きつけるために大げさに表現されている、というのは常識です。「気弱な」技術製品が売れるでしょうか。この点で、VPNサービスは悪名高い業界で、多くの業者はユーザーのログを保存しないとか、「ログなしポリシー」を守っているなどと主張しています。
しかし、これは真実とはかけ離れています。
「ノーログ」または「ログなし」は、サイバーセキュリティの分野で最も紛らわしい言葉です。企業によってログの定義がまったく異なるからです。
この記事では、ログの仕組みを簡単にご説明します。
 
ログの種類
真のゼロログ(zelo log)
真のゼロログポリシーを採用したサービスは、もっとも安全です。ユーザーがVPNソフトウェアを使用している間のいっさいのデータが収集されることがないため、本当に匿名性が守られます。ゼロログポリシーは、広告主に販売したり、犯罪捜査のために提供するデータがそもそもないため、最も安全性に優れています。Private Internet Access は、このポリシーを掲げていることで有名なVPNです。同社は、FBIからの度重なるユーザーログの提出要請を、そもそもログをいっさい保持していないという理由で断ってきました。
セッションログ
「ノーログ(no logging)」ポリシーを掲げるVPNのほとんどが、セッションログを参照しています。セッションログは比較的基本的なログで、VPNを使用している間のメタデータを記録したものです。通常こうしたメタデータは、使用した時間や帯域幅、使用したVPNサーバーといったものです。 
これらのログは、いくつかの基本的なデータを含むものの、大部分はまったく無害です。ただし、データをいっさい収集されたくない場合は、真のゼロログのサービスを探したほうがよいでしょう。
アクティビティログ
アクティビティログが怖いのは、VPNの使用中にユーザーがWeb上でしたことについてデータを大量に記録する可能性があるためです。ユーザーが何を検索したか、どのWebサイトにアクセスしたか、またアクセス/ダウンロードしたファイルや、購入した商についてのデータさえ収集されている可能性があります。集められたデータはVPN会社によって広告主に販売されたり、犯罪捜査に使用される可能性があり、非常に恐るべきものです。
IPアドレスログ
IPアドレスログは、アクティビティログほど恐ろしくはないものの、警戒する必要があります。IPアドレスログは、インターネットIPアドレスからユーザーの物理的な場所を特定し、多くの場合、VPNにログインした時間とともに収集します。IPアドレスとログイン時間の履歴が記録されているということです。犯罪捜査などで、この情報を利用してユーザーを識別できる場合があります。
 
ログと関係のあるデータ規約とポリシー
通常VPNは、国が国民監視を政策としていて、政府機関から強制されなければ、ログを保存しません。その場合最も注意が必要なのは、ファイブアイズ、ナインアイズ、そしてフォーティーンアイズと呼ばれる、それぞれ5カ国、9カ国、14カ国の個人活動を監視する政府間協定です。この協定下では、もしある国の情報機関に国民をスパイする法的権限がなくても、他の加盟国政府の協力によって目的を遂げることができます。以下は、この多国間諜報協定に加盟し、大規模なデータの共有および諜報活動を行うことに同意している国の内訳です。
ファイブアイズ
 
個人の監視を目的にした政府間の協定のうち最も注目すべきものは、ファイブアイズです。米国、英国、オーストラリア、ニュージーランド、カナダが加盟しており、それぞれの国民のデータを共有することに合意しています。この協定は、第二次世界大戦後の1946年、当時のソ連およびその同盟国の活動を監視する手段として、米英の間で結ばれたものが始まりです。この協定の当初の目的はソビエト軍の信号を傍受することでしたが、長年にわたり、自国民の電話やコンピュータ、ファックス機を監視する技術を培ってきました。この協定が広範な情報ネットワークを築いたことで、まもなくカナダ、オーストラリア、ニュージーランドがメンバーに加わることとなりました。
現在、情報追跡システムはECHELONと呼ばれるソフトウェアによって実行されています。このシステムを利用することで、政府は企業および民間人の活動を監視し、大量の個人データを収集することができます。集められた情報は、その後加盟国間に共有され、不審人物の追跡に使用されます。今日、データの大部分が電話、ウェブ上の活動、ファックス、その他のデジタル通信機器から集められています。ですから、ファイブアイズ加盟国に居住し疑惑の対象となった個人は、大規模なデータ傍受の対象となります。まさにそのために、各国政府はVPNサービスにユーザーの活動情報を要求する力を持っています。
ナインアイズ
 
 
ほどなく、さらに他の国々がこのデータ共有協定に加わりました。これはこの協定が、もとのファイブアイズ加盟国にとって多くの点で非常に有用なツールになったからです。この時点で、オランダ、フランス、ノルウェー、デンマークの4カ国が協定に加盟しました。新加盟国のなかには、この協定に加盟しているものの、オランダのように自国のデータ保護法を持つ国もあります。オランダのデータ保護方針では、個人情報の厳重な保護が求められ、VPNが保持できる情報が制限されています。
フォーティーンアイズ
ファイブアイズとナインアイズが非常に有用なことで、ふたたびスペイン、ドイツ、ベルギー、イタリアとスウェーデンの5カ国が加わり、加盟国は14カ国となりました。これらの国々がデータ共有の対象になったため、協定加盟国は自国以外の国民をもやすやすと監視できるようになりました。いまや、フォーティーンアイズは究極の監視システムとして、加盟国のVPNサービスに多大な影響を与えています。
 
ログに関する最近の事件
多くのVPNはノーログのポリシーを守っていると主張しているものの、本当にログを収集していないVPNはほとんどありません。最近、香港のPureVPNは、あるユーザーのデータをFBIに引き渡しました。
PureVPNの利用者が、サイバー犯罪と嫌がらせを行っていたストーカー事件で、同社はFBIから支援を要請されたのです。PureVPNはFBIの要求に応じ、容疑者がいつどこからサービスにログインしたかを示す、ログイン時間と場所に関するデータを提供しました。このセッションログによって、FBIは最終的に容疑者を起訴したものの、ログを保存していないはずだったPureVPNに注目が集まりました。
さらに調べてみると、PureVPNのプライバシーポリシーに矛盾する箇所があり、このせいで同社がユーザーのセッションログを保存していたことがわかりました。
VPN業者が当局にユーザーデータを提供した事例としてPureVPNの例はもっとも注目すべきものですが、他にも同様の事例があることは確かです。この場合も、他の多くの場合と同様に「ノーログ」ポリシーが実際は非常に曖昧な言葉であることを示しています。
 
身を守る方法 
細則を読む
VPN業者の多くはログをいっさい保持しないと主張していますが、細則を読んでみるとそれが真実ではないことがよくあります。サービスの細則は隅々まで読み、研究目的として情報が収集されないか確認しましょう。
フォーティーンアイズのVPNを避ける
全般的にフォーティーンアイズ加盟国のVPNは、厳しいデータ保持ポリシーが適用されるため、プライバシー保護の点では劣ります。しかしこうした国々でも、情報にアクセスする時に自らのプライバシーを守る権利は政策より優先されるとして、規則に反してログ保持を拒否しているVPNもあります。さらに、一部の国では、一般市民を守る厳格なプライバシー保護法があり、VPNによるユーザーデータの記録は疑問視されています
VPNとTorを同時に利用する
VPNとTor(the onion router・玉ねぎルーター)を、正しい方法で一緒に使用すれば、最も監視が厳しい国でもほぼ追跡不可能な最高レベルのプライバシーを守ることができます。しかし、利用しているVPNがTorに対応していなければ、WebアクティビティはTorの出口ノードを通じて追跡可能となり、逆に危険性が高まります。
 
 
まとめ
結局のところ、どのレベルのプライバシーを必要とするのかによって、最適なVPNサービスも異なります。サービスを契約する前にまずはしっかりと調べて、自分のニーズに合ったVPNかどうかを見極めましょう。