香港に本拠を置く7つの無料VPNサービスから2000万人分以上のユーザーデータが流出――vpnMentorが発見:VPNプロバイダー選定は慎重に
ESETは、VPN情報サイト「vpnMentor」の研究者が、7つのVPNサービスプロバイダーから1.2TB分のプライベートユーザーデータが流出したことを発見したと公式ブログで紹介した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
スロバキアのセキュリティ企業ESETは2020年7月20日(現地時間)、VPN情報サイト「vpnMentor」の研究者が、7つの無料VPNサービスのプロバイダーから1.2TB分のプライベートなユーザーデータが流出したことを発見したと公式ブログで紹介した。
ESETのブログ(以下、内容を抄訳する。
これらのVPNサービスプロバイダーの内訳は、「UFO VPN」「FAST VPN」「FREE VPN」「SUPER VPN」「Flash VPN」「Secure VPN」「Rabbit VPN」だ。いずれも「ユーザーのオンライン行動のログを保持していない」と主張している。
流出データは、これらのプロバイダーの共有サーバ上で、誰でも見ることができる状態になっていた。その中には、2000万人以上に上る可能性があるVPNユーザーのPII(個人を特定可能な情報)が含まれていた。
このサーバでは、ユーザーの電子メールアドレスや自宅住所、平文のパスワード、IPアドレスといった詳細な個人データが丸見えになっていただけではなく、インターネットアクティビティーログの幾つかのインスタンスが保存されていたことも分かった。このことは、「ログを保持しないポリシーを守っている」というプロバイダーの主張に疑問を投げ掛ける。
vpnMentorのレポートは、UFO VPN、FAST VPN、FREE VPN、SUPER VPN、Flash VPN、Secure VPN、Rabbit VPNがいずれも香港に本拠を置き、開発者とアプリケーションを共有しており、他社のさまざまなブランドに転用される「ホワイトラベルソリューション」と位置付けられていることを示唆している。この見解は、これらのサービスが同じElasticsearchサーバを共有し、同じ資産でホストされており、支払いの受取人が共通であることに基づいている。
どのようなテストを行い、何を発見したのか
vpnMentorの研究者は、これらのVPNサービスのうちUFO VPNを使って一連のテストを行った。ダウンロードしたモバイルアプリを使って世界各地からサーバに接続したところ、それらのアクティビティーがデータベースに記録された。データベースに記録された個人データには、メールアドレス、IPアドレス、住所、デバイス、接続先サーバなどが含まれる。研究者は疑惑を確認しただけではなく、データベースが、アカウント作成に使われたユーザー名とパスワードをログに記録していたことも発見した。
データベースには、VPNクライアントがインストールされたデバイスに関する技術データ、例えば接続元IPアドレス、インターネットサービスプロバイダー、場所、デバイスのモデル、型、ID、ユーザーのネットワーク接続なども含まれていた。
vpnMentorは、「VPNサーバに接続したユーザーのデータは、リージョンやIPアドレスも含めて流出してしまった。これでは、流出元のVPNサービスはほとんど役に立たない。ユーザーの接続元IPアドレスと接続先サーバでのアクティビティーが関連付けられてしまうからだ」と説明している。
ユーザーはVPNプロバイダーを慎重に選ぶべきだ
「ログを保持しない」とうたうVPNサービスから流出した詳細なログデータによって引き起こされ得る問題は、ユーザーによって異なる。ユーザーがVPNを使う主目的は、セキュリティやプライバシーの強化、特定の国で厳しく規制されていないコンテンツへのアクセス、地理的な制限の回避、政治的活動など多様だからだ。
ユーザーはこうしたVPNの使い方に応じて、悪意ある攻撃者によってフィッシング、詐欺、恐喝、迫害の標的になったり、逮捕に追い込まれたりする恐れがある。
vpnMentorの研究者は、責任ある開示のガイドラインに従い、2020年7月5日にVPNプロバイダーにセキュリティ問題の発生を知らせ、7月5日に香港Computer Emergency Response Teamに連絡した。問題のサーバは2020年7月15日に閉鎖された。
7つのVPNプロバイダーのいずれかのユーザーは、他のプロバイダーへの乗り換えを検討するとともに、他のオンラインアカウントのログイン情報を全て変更するのが賢明だろう。vpnMentorの今回のレポートは、VPNプロバイダーを慎重に選ぶべきであることをユーザーに思い出させてくるのかもしれない。
関連記事
Windowsの標準機能でできる、突然始まったリモートワークのためのリモートITサポート
新型コロナウイルス感染症(COVID-19)の感染拡大に伴い、企業や教育機関の要請に従いリモートワークやリモート教育に切り替えた人は多いと思います。中には、リモートワーク環境やモバイル環境が十分に整備されていない中、リモートワークを開始したところもあるでしょう。IT部門の担当者自身もまた、出社せずに、リモートワークでのヘルプデスク対応やトラブル対応が求められるかもしれません。事前に準備をしていなかったとしても、Windowsの標準機能である程度対応できます。
IPAとNTT東日本、ユーザー登録不要で利用できるテレワークシステムを無料提供
IPAとNTT東日本は、テレワークシステム「シン・テレワークシステム」の無料提供を開始した。契約やユーザー登録は不要で、自宅のPCから会社のPCに接続して遠隔操作できるという。
「在宅」ファーストの企業ネットワーク設計、3つのポイントとは?
新型コロナウイルスの感染予防対策として、在宅勤務が一気に広がった。今や企業のネットワークユーザーは社内ではなく自宅からアクセスしている場合が少なくない。「アフターコロナ」となっても、働き方改革の定着と相まって在宅ファーストは続くだろう。このような状況を前提とした企業ネットワーク設計のポイントについて述べる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。