サイバーセキュリティのセキュリティ研究者であるジェレミア・ファウラー氏は、VPN データ侵害に関連する 3 億 6,000 万件以上のレコードを含むパスワードで保護されていないデータベースを発見し、 vpnMentorに報告しました。公開された記録には、電子メール アドレス、デバイス情報、さらにはユーザーが訪問したサイトへの参照も含まれていました。
データベース内のほぼすべての記録には、無料でダウンロードできる VPN サービスを宣伝するアプリケーションである SuperVPN への言及がありました。Apple と Google の両方のアプリケーション ストアで正式に入手できる SuperVPN という名前のアプリが 2 つあります。Google アプリ ストアのページによると、世界中で合計 1 億ダウンロードされています。
限られた記録サンプルを確認した後、両方のアプリに関連付けられている利用可能なすべての電子メール アドレスに、暴露に関する責任ある開示を送信しました。その後データベースは閉じられましたが、何の返答もありませんでした。この事件は、VPN を使用するすべての人にとって、信頼できる評判の高いサービスを選択することが、インターネット活動だけでなくさまざまな面でプライバシーにとって重要である理由を理解するための警鐘となります。
記録には多くの返金リクエストと有料アカウントの詳細が記録されていますが、Super VPN が無料トライアル後に有料サブスクリプションを提供したことが漏洩していたと思われるため、これは当然のことです。特に、SuperVPN という名前の 2 つのアプリは、Google Play と Apple のアプリ ストアの両方で別々の開発者としてリストされています。iOS、iPad、macOS 用 SuperVPN の開発者は Qingdao Leyou Hudong Network Technology Co. です。一方、同じ名前の 2 番目のアプリは SuperSoft Tech によって開発されています。また、データベース内には長沙楽友百川網絡技術有限公司という会社への言及や、青島楽友湖東網絡技術有限公司への言及も見つかりました。いずれも中国と関係があるようで、データベース内のメモは中国語でした。
すべての兆候は、データベースの所有者として Qingdao Leyou Hudong Network Technology Co. を示していますが、多くの類似点があるにもかかわらず、SuperSoft との関連性があるかどうかは確認できません。両社のロゴは非常に似ており、特に Mac 用 SuperVPN と他の iOS デバイス用 SuperVPN のロゴは非常に似ています。私は両社に連絡を取り、両社が接続されているか、同じ開発者を共有しているかどうかをさらに確認しました。しかし、私の発見に関して返信やコメントは一度もありませんでした。どちらの企業も、所有権や所在地に関する情報をウェブサイト上であまり公開していないため、これらの無料 VPN サービスの透明性とセキュリティについて懸念が生じています。
リークによって明らかになった内容
- 合計 360,308,817 件のレコードが公開され、サイズは 133 GB になりました。
- 記録には、ユーザーの電子メール アドレス、元の IP アドレス、地理位置情報、使用されたサーバーの記録などの機密情報が含まれていました。さらに、この記録には、秘密キー、アプリの一意のユーザー ID 番号、および UUID 番号 (ユニバーサル一意の識別子は、さらなる情報を識別するために使用できる 36 文字の英数字の文字列です) と思われるものも含まれていました。
- 記録内の追加情報には、電話またはデバイスのモデル、オペレーティング システム、インターネット接続の種類、VPN アプリケーションのバージョンが含まれます。
- 製品を購入した、または請求されたユーザーからの返金リクエスト。
- アプリのユーザーが訪問した Web サイトへのリンクは、ユーザーのアクティビティを特定する可能性があり、適度なセキュリティを期待しているユーザーにとってはプライバシーの脅威となる可能性があります。
同じ Super VPN のカスタマー サポート メールは、Storm VPN、Luna VPN、Radar VPN、Rocket VPN、Ghost VPN (CyberGhost VPN と混同しないでください) にもリンクされていました。さらに、これらの VPN プロバイダー名への参照がデータベース内で見つかりました。現時点では、これらの VPN が同じ会社によって所有されているかどうかを判断することはできませんが、何らかの関係があると推測できます。Qingdao Leyou Hudong Network Technology Co. が開発したアプリのカスタマー サポート ページによると、「SuperVPN は、IP アドレス、データ トラフィックの瞬間、内容への干渉を可能にするログを保持しません。当社は、アクセスされたウェブサイトやIPアドレスに関する通信内容やデータをログに記録しないという事実に明示的に言及します。」。しかし、このデータ暴露はこのプライバシーの保証と矛盾しているようです。アプリケーションの権限により、VPN はデバイスのファイル、画像、その他のデバイス情報にアクセスできることに注意してください。
2020年、セキュリティジャーナリストのザック・ドフマンは、SuperVPN(SuperSoftが開発したもので、流出したものと関連があるかどうかは分からない)についてフォーブスに次のように報告した。ユーザーを重大な中間者攻撃にさらします。そのリスクは現在軽減されています。ただし、携帯電話にアプリ SuperVPN がインストールされている場合は、すぐに削除する必要があります。」 – 記事からの引用。
VPN データ侵害のリスク
VPN は、Web 使用時にユーザーに高度なプライバシーとセキュリティを提供するように設計されていますが、セキュリティの脆弱性の影響を受けないわけではなく、侵害の危険にさらされる可能性があります。VPN は、デバイスと VPN サーバーの間に安全で暗号化されたトンネルを作成し、オンライン アクティビティを覗き見から保護します。ただし、VPN プロバイダーが弱い暗号化方式を採用している場合、セキュリティ上の欠陥がある場合、または適切なセキュリティ対策が欠如している場合は、ユーザーの機密情報が漏洩し、データ侵害につながる可能性があります。
さらに、VPN プロバイダーがユーザー ログを収集して保存する場合、それらのログが漏洩したり、パブリック アクセス用に誤って設定されたりした場合、ユーザーのプライバシーが侵害される可能性があります。この場合、VPN データ侵害により、ログイン資格情報、電子メール アドレス、閲覧履歴、IP アドレス、ユーザーまたはサービスに関するその他の情報を含む機密ユーザー データがどのように漏洩する可能性があるかが明確にわかります。これにより、影響を受けるユーザーは、資格情報の不正使用、スパム、フィッシングの試みなど、さまざまな潜在的な問題にさらされる可能性があります。さらに、IP アドレスはユーザーのおおよその地理的位置を特定するために使用でき、ユーザーのインターネット サービス プロバイダー (ISP) およびユーザーが使用しているデバイスの種類に関する情報も提供する場合があります。サイバー犯罪者はその情報を利用してサービス拒否 (DoS) 攻撃を開始する可能性があります。
プライバシーを懸念し、データ侵害の影響を受ける可能性を減らしたい場合は、強力な暗号化方式を使用し、透明性のあるプライバシー ポリシーを備え、セキュリティ プロトコルを定期的に更新する、信頼できる VPN プロバイダーを選択することが重要です。
中国ベースの VPN サービス
記録には世界中のユーザーが含まれていることがわかりましたが、これらのユーザーは中国国内に居住していませんが、中国に拠点を置く VPN には潜在的なセキュリティ リスクがある可能性があります。中国にはインターネットの使用に対して厳しい規制があり、国境内の情報の流れを管理しています。中国政府は、ソーシャルメディア、オンラインメッセージング、ウェブサイトなどのインターネット活動を検閲し、監視しています。その結果、中国では多くの人が仮想プライベート ネットワーク (VPN) を使用して、制限されたコンテンツにアクセスし、オンライン プライバシーを保護しています。近年、中国政府は VPN の使用を規制する措置を導入しました。
2017 年、政府は、中国で運営されているすべての VPN プロバイダーは政府の認可を受ける必要があると発表しました。これにより、多くの VPN プロバイダーが閉鎖を余儀なくされ、残りのプロバイダーは政府の厳しい規制に従うことが求められています。VPN は今でも中国で使用されていますが、かつてほど簡単に利用できず、信頼性も高くありません。さらに、政府は引き続き VPN の使用状況を監視しており、VPN を使用して制限されたコンテンツにアクセスする個人に対して措置を講じると報告されています。したがって、中国で VPN を使用する場合は注意し、信頼できるプロバイダーを使用する必要があります。同じ潜在的なプライバシー上の懸念は、中国を拠点とする VPN サービスのすべてのユーザーに広がります。
利用規約には、SuperVPN を使用するためにユーザーが受け入れなければならない厄介な制限も概説されています。これらには、「国家権力の転覆、国家統一の弱体化もしくは社会的安定の損壊、および/または国家の名誉と利益を損なうこと」や「国家の宗教政策を破壊し、カルトや封建的迷信を広めること」など、潜在的に曖昧で広範な包括的な禁止事項が含まれる。これらの行為は主観的に解釈される可能性があり、記述が非常に曖昧であるため、多くの行為が潜在的に法律に違反するとみなされる可能性があります。
調査を行ってこれらの要素を考慮することで、オンラインのプライバシーとセキュリティを保護しながら、ニーズに最適な無料 VPN を選択できます。ユーザーには、https:// と有効な SSL 証明書を備えたサイトからアプリをダウンロードすることを確認することをお勧めします。VPN アプリに専用の Web サイトがなかったり、開発者に関する情報がなかったり、この情報が隠されているように見える場合は、潜在的なリスクとなります。VPN がどこに設置されているかによってもリスクが生じる可能性があります。
当社は、SuperVPN アプリまたはデータベース内にリストされているその他のサービス名の開発者による不正行為をほのめかしたり暗示したりするものではありません。当社はサイバーセキュリティ問題とデータプライバシー保護に対する意識を高めるために調査結果を公開し、発見の事実と暴露による潜在的な現実世界のリスクのみを述べます。ユーザーは、使用するアプリケーションやサービスのセキュリティ上の懸念を常に認識しておく必要があります。この記事で描かれた観察は、入手可能なデータの限られたサンプルにのみ基づいていることに注意することが重要です。アプリケーションやサービスを選択する際には、十分な注意を払い、慎重に判断することを強くお勧めします。使用するサービスの利用規約、プライバシー ポリシー、およびその他の関連するユーザー契約を読んで理解することを常にお勧めします。
コメント