VPN豆知識

匿名化を徹底したい方にお伝えするログポリシーと諜報活動

匿名性を謳うVPNサービスのWEBサイトを閲覧すると「ログは一切取得しない」というノーログポリシーを見る事ができます。

果たしてそれは信用できるのでしょうか。

ほぼ完全に匿名化 | VPNサービスとTorを一緒に使う方法で書いたように、VPNサービスが匿名性を確保しているかどうかという点においてはVPNサービスを提供する会社を信頼する他ありません。

というのもVPNサービス事業社がトラフィックを見たり秘密裏にログを取得して第3者に提供したりしていないか、利用者には分からないからです。

そのためには運営されている国がアメリカやEUであるか否か、更に「5 Eyes、9 Eyes、14 Eyes」に該当する国か否かを確認する必要があります。

アメリカやEUを避ける理由

アメリカやEUで運営されているVPNサービスはあなたの個人データを収集する法的義務が課せられるため、VPNを契約した際の個人情報や支払い履歴、利用履歴を保管しています。

ですからアメリカやEUで運営されているVPNサービスは外部からの圧力で利用者の個人情報を提供してしまう可能性があります。

そのためアメリカやEUで運営されているVPNサービスのノーログポリシーは信用性が低いと考えた方が良いでしょう。

5 Eyes、9 Eyes、14 Eyes

まずは5 Eyes、9 Eyes、14 Eyesとは何か、というところから知る必要があります。

1946年、イギリスとアメリカがUKUSA協定を結びました。この協定は「通信の傍受・スパイ活動の情報共有」を目的とした多国間情報共有同盟です。

その後、UKUSA協定をベースにオーストラリア、カナダ、ニュージーランドが加盟し、計5ヶ国で協定を結びました。これが5 Eyesです。

そしてデンマーク、フランス、ネザーランド(オランダ)、ノルウェイが加盟して9 Eyesとなり、更にドイツ、ベルギー、イタリア、スペイン、スウェーデンが加盟して14 Eyesとなりました。

5 Eyes アメリカ、イギリス、オーストラリア、カナダ、ニュージーランド
9 Eyes デンマーク、フランス、ネザーランド(オランダ)、ノルウェイ
14 Eyes ドイツ、ベルギー、イタリア、スペイン、スウェーデン

特に注意が必要なのは5 Eyesです。企業に対してデータの記録と引き渡しを強制できる強力な権限を有しています。

9 Eyesや14 Eyesの国にはプライバシーの懸念があるものの企業によってはプライバシーを遵守しています。しかし5 Eyesに属する国で運営されているVPNサービスは絶対に利用してはなりません

そのほかの多国間情報共有同盟

日本、韓国、イスラエル、シンガポールはNSAと深い関わりがあります。

また、5 Eyesとフランス、インド、シンガポール、韓国、タイは2005年から情報共有のための協定を結んでいます。

中国、インド、カザフスタン、キルギスタン、パキスタン、ロシア、タジキスタン、ウズベキスタン間では上海協力機構という名の情報共有同盟を結んでいます。

ノーログポリシーが実証された例

Private Internet Access(PIA)の場合

2017年4月、サンフランシスコ在住の男性が不正アクセスの疑いでFBIに逮捕されました。

裁判所に提出された証拠には攻撃者のIPアドレスとしてPIAのものが含まれていたためログ開示命令が出されたのですが、容疑者を有罪にするに至りませんでした。

PIAの顧問弁護士はログについて以下のように説明しました。

  • 支払い時に入力する顧客の名前や住所は保持していない
  • PIAが保持している唯一の情報は顧客がサインアップした際の電子メールアドレスのみ

捜査機関はサインアップした際のメールアドレスから所用者を割り出そうとしましたが容疑者に辿る事はできませんでした。

この件で注目すべきはVPNサービスに登録するメールアドレスにも気をつかう必要がある点です。

プライバシーを守るための匿名メールサービスプライバシーを守るためにVPNを利用するのは良い方法です。しかしメールをやり取りする際に不注意からプライバシーが暴かれることは少なくあり...

ExpressVPNの場合

2016年、ロシア大使のアンドレイ・カルロフ氏が暗殺されました。

参考:アンドレイ・カルロフ(Wikipedia)

この事件では犯人のGmailとFacebookのアカウントがExpressVPNを利用している何者かに削除されており、第三者の関与についてトルコの捜査機関が調査しました。

調査の一環でExpressVPNのサーバーをトルコの捜査機関が押収したのですが、サーバーには犯人に繋がる情報が一切残っていませんでした。

そのためトルコの捜査機関はExpressVPNにログの提出を求めました。

これに対してExpressVPNは「イギリス領バージン諸島で運営されているため同国の裁判所命令がなければ要請に応じる必要はないが、接続ログやアクティビティログは保存していないので要請には応えられない」とトルコの捜査機関に伝えたため第三者の特定に至りませんでした。

その後、ExpressVPNはトルコでの物理サーバー設定をやめて仮想ロケーションに変更したそうです。

この件で注目すべきは、どの国で運営されていても物理サーバーの押収は避けられない点です。

まとめ

それでは情報を整理しましょう。

避けなくてはならないのが、アメリカあるいはEU加盟国で運営されているVPNサービスです。これらの国で運営されているVPNサービスは個人データを収集する法的義務が課せられています。

運営国がアメリカ・EU加盟国でないこと

そして5 Eyes、9 Eyes、14 Eyesに属する国で運営されているVPNサービスは避けましょう。特に5 Eyesは絶対に避けなければなりません。

5 Eyesに属する国で運営されているVPNサービスは絶対に利用してはいけない

そしてPIAの例で分かるように接続ログやアクティビティログを記録していなくてもサインアップした際のメールアドレスが記録されている可能があります。そのため普段利用しているISPやGmailなどのメールアドレスではなくて匿名メールでVPNサービスの利用を始めた方が安全でしょう。