ジョニー
キミは「SoftEther VPN Clientの安全性」について疑問があると思うが、その説明をする前に知っておいたほうが良いことがある!
本編に入る前に、まず次のことを理解しておいてくれ!
「SoftEther VPN」と「SoftEther VPN Client」と「VPN Gate」の違い
ジョニー
「SoftEther VPN」と「SoftEther VPN Client」と「VPN Gate」を知らないと混乱するから、まずこの違いをハッキリさせておくぞ!
- SoftEther VPNは「自分でVPNサーバーを作る」
- SoftEther VPNは、キミ自身がサーバーを作るためのソフトウェアだ。たとえば、自分の家やオフィスにあるPCをVPNサーバーにして、外出先から安全に接続したり、リモートアクセスVPNや拠点間接続VPNを構築するのが目的。作ったサーバーは自分が使う以外にも誰かに使ってもらうケースもある。
- VPN Gateは「世界中のボランティアが提供する公開VPNネットワーク」
- VPN Gateは「世界中の誰かが提供しているVPNサーバー」を一覧から選んで利用できる仕組みだ。つまり他人が運営しているサーバーを使うことになる。便利だけど、運営者がどんな人間かはわからないからリスクもある。
- SoftEther VPN ClientはVPN Gateのサーバーに接続するソフト
- SoftEther VPN Clientは、VPN Gateに登録されている他人が立てたVPNサーバー(または自分で作ったサーバー)に接続するためのソフトになる。
SoftEther VPN関連のことを調べている人の多くは、「SoftEther VPN Clientを使って、VPN Gateの公開サーバーに接続する」ということを目的にしているはずだ!
キミも、この使い方がメインじゃないか?自分でサーバーを立てるのはちょっとハードルが高いからな。
だからこの記事は「SoftEther VPN Clientを使い、VPN Gateを通じて他人が立てたサーバーを利用するのが安全なのか?」というケースを想定している。
自分でVPNサーバーを立てる話はしないから、それが目的ならコ゚ーバックだ!
前置きは以上だ!次にいくぞ!
Softether VPN Clientの安全性
ジョニー
Softether VPN Clientは、世界中のVPNマニア(オレを含む)が「こいつはデキるヤツだ」と認める便利なVPNソフトウェアだ。
安全性に問題はない!
ただし、はじめにもいったが、VPN Gateを通じて他人が立てたサーバーを使うことになる。
つまり、「VPNを運営する人間の良し悪し」によって、安全じゃなくなる可能性があるってことだ。
たとえるなら、どれだけ丈夫な車でも、ハンドル握るドライバーがぶっ飛んでたら危険だろ? そういう話だ。
「悪意ある管理者」に気をつけろ!
管理者って何?
ジョニー
VPNサーバーを運営・設定できる人を指す。
VPN Gateに繋ぐとき、そのサーバーの「オーナー」が管理者だと思ってくれ。
だから管理者が「会社のIT部門」かもしれないし、「ニックネームだけの謎の個人」かもしれない。
ここで問題なのは、管理者が悪意をもっていたら何が起きるかってことだ。
悪意ある管理者とは?
ジョニー
要するに、「ユーザーのデータを盗み見してやろう」とか「勝手に改ざんしちゃおう」とたくらむ黒い心の持ち主。
VPNサーバーの管理者は通信をさばく立場にいある!だからことによってはユーザーのデータをのぞき見できる可能性があるんだ。
つぎで、悪意ある管理者ができるヤバいことを見ていくことにしよう!
悪意ある管理者が起こすかもしれない「5つのヤバいこと」
1.暗号化していない通信をこっそり監視・悪用される
ジョニー
まずはこれだ。
VPNが暗号化してくれるのは「キミのデバイスからVPNサーバーまで」の間だけ。
で、その先(VPNサーバーから目的地)はどうだ?答え→暗号化されてなきゃ全部見られる。
たとえばHTTP(暗号化なし)サイトにログインして「ID:iloveVPN パスワード:1234」とか入力したら、悪意ある管理者が「おっ、いいネタいただき!」ってニヤついてるわけだ。
FTPや非暗号化のメール(SMTP/POP3)なんかも同じ。メッセージの内容もファイルもダダ漏れ。バレバレ。
2.行動履歴を全部記録されて丸裸になる
ジョニー
SoftEther VPNには「セキュリティログ」や「パケットログ」という機能がある。
「セキュリティログ」だの「パケットログ」だの難しそうに聞こえるが、簡単に言えば「お前が何やったか全部メモ」って話だ。
悪意ある管理者がそれを見れば「どのサイトにアクセスした?」「どのくらいデータを送受信した?」がわかるし、暗号化されてなきゃメールの内容もファイルの中身も全部見られてしまう。
暗号化通信を使っていたとしても、「どのサイト(ドメイン)にアクセスしたか」って情報は残るから、通信内容は守られても「お前、平日夜中に怪しいサイト巡ってたな?」くらいはバレちゃうけどな!
VPNの仕組み上仕方がないが、それすら嫌ならTorも一緒に使うか(現実的ではない)、ノーログポリシーが第三者機関の監査で証明されている有料VPNを使うしかない!
3.偽サイトに飛ばされる可能性
ジョニー
中間者攻撃(MITM)やDNS改ざんをされると、公式サイトのフリをしたフィッシングページに誘導される恐れがある。
たとえば銀行のログイン画面そっくりに作られたページでパスワードを盗られたり、マルウェアを仕込まれたりする。
よくAmazonなんかを装ったメールが届くよな。
その先のサイトがAmazonそっくりのサイトでログイン情報を入力したら全部盗られて買い物されたなんて話はよくある話だろう?
中間者攻撃ってのは珍しいことじゃないんだよな。
4.ウイルス&マルウェアの仕込み
ジョニー
悪意ある管理者がHTTP通信を改ざんすればどうなるか?
たとえば、ファイルのダウンロード中に「おまけだよ!」とマルウェアをしれっと追加して送りつけてくる。
さらには、キミが特定のサイトを開くたびに勝手に悪意ある広告を挿入し、画面をカオスにするなんて手口も普通にある。
でも、もっと怖いのは気づかないケースだ。
バックドアやキーロガーを仕込まれたら、キミのデータや行動がまるっと盗まれるかもしれない。
それだけじゃないぞ!
ランサムウェアでデバイス全体をロックされ、身代金を要求されたり、知らない間にキミのPCがマルウェア拡散の拠点として使われる可能性だってある。
どっかのニコニコしてる企業さんもこれで数億円支払ったなんてニュースもあっただろ!
- マルウェア:「悪意あるソフトウェア(Malicious Software)」 の略称だ。コンピュータやスマホに勝手に入り込んで、悪さをするプログラムの総称だと思えばいい。
- バックドア:「裏口」 のことだな。普通のソフトウェアやセキュリティ対策では気づかれないように、システムに不正に侵入するための秘密の入り口を作る。
- キーロガー:「キーボードの入力を記録するソフト」 のことだ。キミが打ち込むすべてのキー(文字や数字、パスワードまで!)を記録して、攻撃者に送信するぞ。
5.データの売買・流出
ジョニー
せっかくログを集めたなら売り飛ばしてやれ!そう思う悪党だっている。
ユーザーの行動履歴や個人情報は広告屋や犯罪組織にとって「お宝」だから、残念ながら日常的に売買されているものだ!
いたずらでSNSに公開されるかもしれない。
恐ろしいことだ、いまの世の中それが現実になることは十分にある!
「悪い管理者」と「良い管理者」を比較してみる
ジョニー
下の表はあくまで「悪意を持った管理者」対「普通の善良な管理者」って構図だ。
| 項目 | 良い管理者 | 悪い管理者 |
|---|---|---|
| 接続ログ(セキュリティログ) | ・必要最低限の記録だけ(トラブル対応用)。 ・誰が接続したか、接続時間などの簡易情報を保存。 | ・日時・アクセス先・全データ量をすべてログに保存。 ・「どのサイトにいつ接続したか」など行動履歴が丸見え。 |
| パケットログ(ペイロード) | ・ヘッダ情報(送信元IPなど)だけを記録。 ・もしくは全く記録しない。 | ・ペイロード(データ本体)まで丸ごと記録。 ・HTTPなど非暗号化通信なら「メール本文、ファイルの中身」までもバッチリ傍受。 |
| 通信の改ざん | ・倫理的にも不要なのでしない。 ・そもそも利用者を保護するためにVPNを提供している。 | ・DNSを改ざんし、偽サイトに誘導。 ・HTTP通信の途中にマルウェア挿入。 |
| データの扱い方 | ・正当に運用、第三者への無断提供はしない。 ・ユーザー保護を最優先。 | ・保存ログを広告会社や闇ブローカーに売る。 ・ネット上に晒すなど、ユーザーに最悪の事態をもたらす。 |
| 運営者の身元 | ・会社や個人でも連絡先や実績がしっかりしている。 ・相談すれば対応してくれる可能性あり。 | ・ニックネームだけで正体不明。 ・連絡先すら嘘や放置。何かあっても泣き寝入り。 |
繰り返しになるが、悪意のある管理人だとしても「暗号化された通信」なら情報が盗られる可能性はほぼないからな!
以下のプロトコルを使用していれば、悪意ある管理者がパケットログを取っても、ペイロードの内容(メール本文やファイルの中身)は暗号化されており、基本的に解読できないってことだ。
- HTTPS(Webサイトの通信)
- SFTP(セキュアなファイル転送)
- SMTPS(暗号化されたメール送信)
- IMAPS(暗号化されたメール受信)
- その他SSL/TLSで保護されているプロト
ただし、HTTPSを使っていても、訪問先のドメイン(例: yahoo.co.jp)、アクセス日時やデータ量までは記録される可能性があるからな!サイト内で何をしたかってのはバレないから(パスワードなんかを入力してもわからないってこと)そこは安心してくれ。
SoftEther VPN Clientを使うときの注意点
なるべく暗号化されたWebサービスを使う
ジョニー
何度も何度も繰り返しになるが、サイトにアクセスするときはhttps://(末尾に「s」がある)を利用するのが大前提だし、メール送信やファイル転送も、SMTPやSFTP、SMTPSなど暗号化対応のプロトコルを使うことだ!
そうすれば、VPNサーバー管理者が通信を復号化しても、中身はさらに暗号化されているため、覗き見されにくい。
むやみに個人情報やパスワードを入力しない
ジョニー
「怪しいVPN」に繋ぐ状況なら、個人情報やパスワードの入力を控えることだ!
どうしても入力する必要があるなら、二段階認証を設定するなど安全策を強化しよう。
二段階認証をしておけばID、パスワードが漏れてもほぼ不正アクセスは防げるからな。
アンチウイルスやOSアップデートを怠らない
ジョニー
キミがどんなに気をつけてSoftEther VPNを使おうが、キミのデバイス自体が弱点だとしたら台無しになる。
VPNは通信を守る壁みたいなものだけど、その壁の外にデカい穴が開いてたら意味ないよな?
そういった部分を突かれると、マルウェア(ウイルスやスパイウェア)をぶち込まれたり、キーボード操作を記録されてIDやパスワードが盗まれるなんてことが起きてしまうぞ!
わからなければ無理に使わない
ジョニー
「HTTPSなんてわからない!どうすればいいかもよくわからない!考えたくない!うおぉぉぉー!」
そんな状態で、誰が管理者からわからず「信じられないなら接続しない」のが一番手っとり早い。
どう考えても危険だろ!
無料で公開されてるVPNなんて、ほぼ管理者の素性がつかめないことが多いし、問い合わせ先さえ存在しないことが多いからな。
「よくわからないけどVPNを使いたいんじゃ!」なら有料VPNを使え!
ジョニー
「オレにはhttpsだとか、管理者が誰かの確認だとか、ちょっと難しい……」というキミ。
難しいと思っているなら、下手に危ない橋を渡るより、有料VPNを使ったほうが精神安定上いい。
有料VPNのメリット
- 管理者(運営会社)が明確
信頼できるVPNプロバイダなら、会社の実在証明や評判を調べやすい。 - ログポリシーやプライバシーポリシーを公開
「No Log」をうたっているかどうか、カスタマーサポートがあるかなどを確認できる。 - 初心者でも設定が簡単
アプリをインストールしてログインすればOK、みたいなところが多い。 - 通信速度や安定性が担保されやすい
有料ならサーバー維持費があるぶん設備がしっかりしていることが多い。
ただし、有料VPNだって完璧ではない。
結局は運営会社をどこまで信頼できるかって話になる。
それでも「名前も知らない個人」と比べれば、企業が運営する有料VPNのほうがマシなことは高いって話だ!
SoftEther VPN Clientの安全性が気になっているキミへ最後に伝えたいこと
ジョニー
SoftEther VPNは超優秀。安全性も問題ない。
でも「使い方や管理者次第」でその安全性は地平線の彼方へと消え去るってことだ!
怖がらせたいわけじゃない。
なんなら有料でも繋がらない配信サービスにSoftEther VPNなら繋がるなんてことはザラにある!
だからちゃんとリスクを知って対策すれば、SoftEther VPNは最高の相棒になるってオレは断言したい。
リスクと対策をしっかり意識して、安全にネットの海を渡ってくれよ。検討を祈るぜ!