トルコで押収されたExpressVPNサーバー、暗殺事件では何も出ず、「ログなし」ポリシーを検証

トルコ当局は、ExpressVPNが運営するVPNサーバーを押収し、駐トルコ・ロシア大使アンドレイ・カルロフ暗殺に関する詳細を隠すために使われていたとしている。このサーバーには、Facebook と Gmail 上の証拠の削除の可能性を調査していた当局にとって有益な情報は何も保存されていませんでした。

2016年12月、トルコの首都アンカラで開催された美術展で、非番のトルコ警察がカルロフさんを射殺した。このサーバーは 2017 年 1 月に押収されましたが、ExpressVPN に関連する詳細が明らかになったのはつい最近のことです。この記事の執筆時点では、この訴訟はまだ進行中です。

当局は、暗殺者のFacebookとGmailのアカウントを削除した現時点で不明の人物と、捜査に役立つ可能性のある会話を追跡することを期待して、データセンターを強制捜査し、サーバーを押収した。その人物は、ユーザーの実際の IP アドレスをマスクし、インターネット トラフィックを暗号化する ExpressVPN 接続を装ってこれを実行しました。 ExpressVPN は、ユーザーのアクティビティのログやその他の識別情報は一切保持していないと述べています。

ExpressVPNは正式な返答を発行しました ここ 。

「2017 年 1 月にトルコ当局に述べたように、ExpressVPN は、捜査官が挙げた特定の IP をどの顧客が使用していたかを知ることを可能にするような顧客接続ログを保有しておらず、これまでにも保有していません。さらに、当社ではアクティビティ ログを保持していないため、当該期間中にどの顧客が Gmail または Facebook にアクセスしたかを確認することはできませんでした。私たちは、捜査当局による問題の VPN サーバーの押収と検査により、これらの点が確認されたと信じています。」

ExpressVPN は当局に協力しましたが、この事件に関して提供できる情報をまったく持っていませんでした。同社はイギリス領ヴァージン諸島に設立されており、イギリス領ヴァージン諸島にはデータ保持の義務はありません。 ExpressVPNの広報担当者は、このような発作は珍しいことではないとComparitechに語った。

「法執行当局がサーバーを物理的に押収したのはこれが初めてではない」と広報担当者は説明する。 「法執行機関からのアプローチは、大規模な VPN プロバイダーにとって通常の業務の一部であり、これが、オンライン活動と特定のユーザーを結びつける可能性のあるデータが当社のサーバーに含まれないように当社が懸命に取り組んでいる理由の 1 つです。」

ExpressVPN の利用規約では、そのサービスを違法行為に使用することを禁止していますが、VPN 接続中に顧客の行動を監視したり記録を保持したりしないため、強制する手段がほとんどありません。

状況は残念ではあるが、今回の件はExpressVPNのユーザーに対する容赦ないプライバシーの主張を裏付けるものとなった。このサービスは、エドワード・スノーデンを含む多くの VPN 批評家がそのような主張に疑問を投げかけていた時代に、まさに意図され、約束されたとおりに機能しました。

VPN は優れていますが、その弱点は単一障害点です。つまり、その 1 点をハッキングしたり召喚したりすると、すべてを見ることができます。 https://t.co/iUxkbJsoK2

— エドワード・スノーデン (@Snowden) 2015 年 12 月 30 日

ロギング ポリシー: 行間を読み取る

しかし、すべての VPN がそれほど真剣であるわけではありません。 2017年10月、警察は PureVPN 顧客を逮捕した サイバーストーカー行為の容疑で。ライアン・リンは、元ルームメイトをストーキングしたり嫌がらせをしたりする際に、身元を隠すために PureVPN を使用しました。 FBI 捜査官が香港に拠点を置くこの会社に接近したとき、PureVPN はリンを有罪とするログを引き渡しました。

以下も参照してください。 最高のログなしVPN

PureVPN は、ExpressVPN と同様に、ログを保持しないと主張しています。

2011年にも同様の注目すべき事件が発生し、米国のLulzSecハッカーがソニー・ピクチャーズに対するハッキングに関与したとして逮捕された。 Cody Kretsinger は、身元を隠すために VPN プロバイダー HideMyAss を使用しました。 FBIが裁判所命令を出したとき、 HideMyAss がログを引き渡したとされる それがクレツィンガーを有罪とし、逮捕につながった。

HideMyAss はログを一切保管していないとも主張した。同社が現在新しい所有権の下にあることは注目に値します。

では、ExpressVPN とこれらのプロバイダーのログ ポリシーを区別するものは何でしょうか?結局のところ、「ログ」として正確に定義されるもの、透明性、VPN プロバイダーが宣伝する方法が重要になります。

HideMyAss と PureVPN がログレスであると主張するとき、彼らが実際に言いたいのは、ユーザーのアクティビティの記録を保持していないということです。たとえば、どの Web ページにアクセスしたか、通信内容、購入内容などの詳細は記録されません。これらは、トラフィック ログまたはアクティビティ ログと呼ばれることがよくあります。

ただし、次の情報は記録されます。どうやってVPN が使用されたとき、ユーザーが接続したときと切断したとき、転送されるデータの量、そして最も適切なのはユーザーの実際の IP アドレスなどです。これらはメタデータ ログまたはセッション ログとして知られています。この情報のほとんどは、かなり無害です。ユーザーを直接特定することはできません。

ただし、IP アドレスは異なります。 IP アドレスは、特定のデバイスに固有の数字と小数の文字列です。 VPN はユーザーの実際の IP アドレスをマスクしますが、VPN 会社がユーザーの実際の IP アドレスを記録すると、当局はその情報を使用して、既知のアクティビティを特定のデバイスとその所有者まで追跡することができます。 IP アドレスは法的には ID を構成しない可能性がありますが、他の証拠を裏付けるために使用できます。

HideMyAss と PureVPN は、広告にログを記録していないと主張していますが、ユーザーの実際の IP アドレスを記録しています。実際のロギング ポリシーは、それぞれのプライバシー ポリシーの細かい部分に埋もれており、ほとんどのユーザーはわざわざ読むことはありません。

ExpressVPN は、Comparitech で推奨しているほとんどの VPN と同様に、アクティビティ ログも IP アドレスも保存しません。少数のプロバイダーは「ゼロログ」サービスであると主張しています。これは、顧客がオンラインで行ったことに関する情報をまったく記録しないことを意味します。これは理想的ではありますが、将来の VPN 顧客は、特に新しい、無料、顧客数が少ない、またはログ記録の履歴がある VPN からのこのような主張には懐疑的であるべきです。

ExpressVPN は、「正常にアクティベートされたアプリとアプリのバージョン、VPN サービスに接続した日付 (時間ではない)、VPN サーバーの場所の選択、1 日あたりの総データ転送量 (MB 単位)」などのメタデータを記録します。トルコ当局は、カルロフ事件ではこれらのどれもが有益であると判断しなかった。

仮想ロケーション、不完全なソリューション

2017 年の夏、ExpressVPN は 厳しく批判された 「仮想ロケーション」の使用のため。インターネット トラフィックがパキスタンやスリランカなどの場所にある VPN サーバーを介してルーティングされていると信じていたユーザーは、実際には他の国のサーバーに接続していました。サーバーに割り当てられる IP アドレスは選択した国の IP アドレスですが、物理サーバーは別の場所にあります。

研究者らは、ExpressVPN が PureVPN および HideMyAss とともにサービスを虚偽表示していたと主張しました。批評家は、これは特定の国の実際のサーバーに接続していると信じている人々にとって悲惨な結果になる可能性があると主張しています。当時、ExpressVPN は次のように回答しました。

「ExpressVPN サーバーの 3% 未満では、登録された IP アドレスが接続先として選択した国と一致しますが、サーバーは物理的に別の国、通常は近くにあります。これらは仮想サーバーの場所と呼ばれ、接続の高速性、安全性、信頼性を確保するのに役立ちます。」

トルコでのサーバーの押収を受けて、ExpressVPN はトルコでの物理サーバーの使用を停止し、代わりに仮想サーバーに切り替えました。 ExpressVPN アプリでは、依然としてトルコが場所としてリストされており、そこに接続するとユーザーにトルコの IP アドレスが与えられますが、物理サーバーはオランダにあります。

批評家たちの意見に反して、カルロフ事件は、ExpressVPN が仮想ロケーションを使用する理由を裏付けています。情報機関などの第三者がデータ センター (ほとんどのサーバーが存在する場所) のセキュリティとプライバシーを侵害する可能性がある国では、消費者向けのプライバシー規制が強化されている国に物理サーバーを備えた仮想ロケーションを作成することが合理的です。

「当社には、安定した速度で確実に接続する能力だけでなく、物理的なセキュリティと法的管轄権もカバーする、サーバーに関する厳格な基準があります」と広報担当者は述べています。 「国によっては、これらの条件を満たすサーバーを見つけるのが難しい場合があります。仮想サーバーの場所により、ユーザーは ExpressVPN に期待されるプライバシー、セキュリティ、接続品質を提供しながら、そのような国に接続することが可能になります。」

仮想ロケーションは、特定の国とのつながりを望んでいるものの、お金を払ってプライバシーを確​​保したいと考えている顧客にとって、不完全なソリューションとして機能します。すべての仮想ロケーションが何らかの形で不正であると一律に主張するよりも、おそらくより適切な問題は透明性の欠如です。 ExpressVPN は現在、どの場所が仮想であり、どの場所が仮想ではないかをリストします。 ウェブサイトで 、ExpressVPN アプリ自体は 2 つを区別しません。

2017 年 12 月 21 日の更新:ExpressVPN の広報担当者からの引用を追加しました。

トップ画像のクレジット: ロシア大統領