主要VPNサービスは危険？　VPNプロバイダーの資本や国籍に注意：VPNプロバイダー選びは慎重に

世界上位の主要VPNプロバイダーの中には、全幅の信頼を置くことができない企業が含まれる。もしかしたら、ユーザーのプライバシーはその企業が属する国に漏れているかもしれない。

≫ 2019年08月29日 08時00分公開

　プライバシーとセキュリティの調査会社VPNproの調査によると、世界上位の仮想プライベートネットワーク（VPN）プロバイダーのうち、3分の1近く（30％）は中国企業がひそかに所有しているという。同調査で、97もの主要VPNがわずか23％の企業によって運営されており、その多くはプライバシーの法律が厳しくない国を拠点としていることが明らかにされた。

　こうした企業の6社が中国に本社を置き、合計29のVPNサービスを提供している。だが、親会社の情報を利用者に公開していないサービスも多い。

　VPNproの調査員は、企業の一覧、地理データ、従業員の履歴書、その他のドキュメントを組み合わせることで所有企業を追跡した。

　さまざまなVPNの所有権を複数の子会社に分割している場合もある。中国企業のInnovative Connectingは、VPNアプリを作っているAutumn Breeze 2018、Lemon Cove、All Connectedの3社を所有する。そして一見関係なさそうに見える10個のVPN製品をInnovative Connectingが生み出していることが判明した。

　複数のVPNサービスを1社が所有することは珍しくない。VPNproは、プライバシーの法律が厳しくない、あるいは全く存在しない国を拠点とする企業が非常に多いことに懸念を示している。

　主要VPNサービスのうちの7つは、パキスタンに拠点を置くGaditekが所有している。VPNproによると、パキスタン政府は正当な理由なく合法的に任意のデータにアクセスすることが可能であり、これはデータが自由に外国機関に引き渡される恐れもあることを意味するという。

　VPNプロバイダーが保持するデータにアクセスできることで、政府などの組織がユーザーのオンラインでの活動を特定できることもあり得ると研究者は指摘する。人権問題活動家、プライバシー保護推進派、調査ジャーナリスト、内部告発者などが危険にさらされる恐れがある。

　プライバシーの不在は一般消費者にも広がり、こうした消費者も政府の厳しい監視下に置かれることになると調査では指摘している。

　「これらの企業が秘密の活動を行っていると非難するつもりはない。ただし、その所有者や拠点が不透明なVPNプロバイダーが非常に多いことは気掛かりだ」と語るのは、VPNproでリサーチアナリストを務めるローラ・コーネリア・イナメディノバ氏だ。

　「VPNプロバイダーが保持しているデータが、中国やパキスタンなどの政府から合法的に要求される可能性があると知ったら、多くのVPNユーザーがショックを受けるだろう」

　「ユーザーは、利用を考えているVPNに対して十分な適性評価を実施することを推奨する。VPNは全てが平等に作られているわけではなく、単純にVPNを使ってしまうとプライバシーもセキュリティも保証されないためだ」

　VPNproは、その親会社と子会社の出自が完全に隠されている4社、Super VPN、Giga Studios、Sarah Hawken、FIFA VPNをさらに特定した。これらの企業は合わせて10個のVPNサービスを所有している。

　2019年2月、2人の米国上院議員がこうした問題や、消費者や政府機関への潜在的脅威について懸念を表明し、VPNによって価値ある情報が国外の敵対者に渡される可能性について調査するよう米国国土安全保障省（DHS）に求めた。

　ある書簡の中で、民主党議員のロン・ワイデン氏と共和党議員のマルコ・ルビオ氏は、DHS傘下のサイバーセキュリティ・インフラセキュリティ庁（CISA）の局長を務めるクリストファー・クレブス氏に対し、米国政府への潜在的脅威を判断するためにVPN脅威評価を実施するよう要請したと米TechTargetは報じている。

　人権およびプライバシー権利擁護団体のBig Brother Watchは、VPNに関する概要報告書の中で、VPNプロバイダーはユーザーのインターネット活動を確認できる可能性があると警告する。「とはいえ、VPNを有料提供する多くのプロバイダーは、ユーザーのトラフィックを一切ログに記録しないことを明確にしている」

　これらをログに記録していなければ、VPNプロバイダーはユーザーがアクセスしたWebサイトの記録を残すこともできないと同報告書には記されている。

　Big Brother Watchは、無料のVPNは避けるべきだと忠告する。これらは安全ではない恐れがあり、ユーザーを追跡するかもしれない。

　同報告書は続ける。「オンラインでの活動をプライベートに保ちたいなら、インターネット活動やオンライントラフィックをログに記録しないVPNを確実に選ぶ必要がある。全てのVPNが同じわけではない。VPNを選定する前に必ず調査をすべきだ」

TechTargetジャパントップセキュリティ