VPNプロバイダーでも老舗かつ大手のPureVPN。
FBIがPureVPNが保持していたログを経由して犯人を逮捕したというニュースが飛び込んできました。
大手VPNプロバイダーが大々的に明らかな嘘をユーザー宣伝しており、VPNへの信頼が揺らぐ大きな問題です。
参照PureVPN Logs Helped FBI Net Alleged Cyberstalker
参照Pure Lies: PureVPN’s “No Logs” Claims Invalidated By Recent FBI Case
どういう経緯で?
マサチューセッツ州に住むライアン・リン容疑者が、元ルームメイト、家族や友人に対するサイバー・ストーキングを行った疑いで逮捕されました。
司法省によると、2016年4月頃からルームメイトや家族、友人のコンピューターをハッキングを開始して、オンラインアカウント、プライベート画像、医療履歴や男性関係などの個人情報を何百も入手した疑いが持たれています。
何故捕まったの?
リン容疑者はコンピューターサイエンスを専攻しており、インターネットに精通していたようです。トラッキングを防ぐ為に、Tor、VPN、ログを保持しないEmailサービス(ProtonMail)やプロバイダー等を利用していました。それらのサービスやツールが本当にログを保持していなければ犯人特定はかなり困難です。その為地元警察では手に負えずFBIに調査が依頼されました。
ではどのように逮捕に至ったのでしょうか?
すでにFBIはオフラインでリン氏を容疑者だと特定していたようです。
容疑者の雇用者から押収したパソコンにPureVPNがインストールされていました。
FBIは香港にベースのあるPureVPNに協力を依頼し、リン容疑者が使用していたログを入手します。
そこからリン容疑者が使用してたGmailアカウント、被害者のGmailアカウントが同じIPアドレスからアクセスしていた事が明らかになりました。
取り分け興味深い点は、PureVPNのログから、リン容疑者の自宅と勤めていたソフトウェア会社のIPからアクセスされていた事が確認されて、このIPアドレスが決定的な証拠になったようです。
PureVPNが保持していないはずのログが証拠になって逮捕に繋がりました。
PureVPNのプライバシーポリシーは?
ではPureVPNのプライバシーポリシーには何が約束されているでしょうか?
Our servers automatically record the time at which you connect to any of our servers. From here on forward, we do not keep any records of anything that could associate any specific activity to a specific user. The time when a successful connection is made with our servers is counted as a ‘connection’ and the total bandwidth used during this connection is called ‘bandwidth’. Connection and bandwidth are kept in record to maintain the quality of our service. This helps us understand the flow of traffic to specific servers so we could optimize them better.
またTopページではPureVPNの大きな特徴として "No log"を大々的に売り出していました。
ホームページを見る限りこの事件後にPureVPNは "No Log"のアイコンや特徴を削除したようです。
ノーログについて
厳密に言えば 、VPNサービスの運営上完全なノーログはかなり難しいのが現状です。
どのサーバーに接続して、どれくらいの帯域を利用したかに関する記録はVPNサーバーの運営上欠かせません。問題は個人が特定されるユーザーのIPを記録しているか否かにあります。
個人的に言えば、ノーログと記載してあるVPNプロバイダーは詳しく調べる必要があります。
「ログ」に対してどういう姿勢を持っているのか、どのように扱おうとしているのか等です。
例えばべすとVPNでオススメしているExpressVPNは完全なノーログは約束していませんが、個人情報が特定出来るトラフィックやIPに関するログは一切記録していない事を保証しています。また、FBI等の国家調査機関からの依頼を拒否する事も保証しています。ログを強制的に調査されても保持していないので問題ないとの事ですが。
ノーログに関して他の国のIPが使いたいという人に取っては大きな問題ではありませんが、プライバシー保護を目的として使っている人に取っては本当にログを取っているか否かは非常に大切な点です。
誠実にある程度のログを取っていると記載していれば問題にはなりませんが、PureVPNはユーザーのトラフィックやIPを記録していただけでなく、そのデータを保持しており明らかにユーザーを騙していました。
今回はノーログに関しての問題でしたが、PureVPN自体のサービスに疑いを抱かずにはいられません。
べすとVPNでは信頼出来るVPNプロバイダーを照会しています。