タダより怖いものはない: 2100万人のユーザー情報が漏えい

個人情報保護・広告ブロックの業界ニュースをかなり長い間本ブログにて取り上げていませんでしたが、最近発生した状況についてコメントせずにはいられません。

数日前にCyberNewsが報じたように、2100万人ものユーザーの資格情報を含むデータベースが人気のハッカーフォーラムで今販売されています。
データはAndroid用のVPNサービス「SuperVPN」、「GeckoVPN」、「ChatVPN」の3つのVPNサービスから盗まれたもの。
Google Playにおいて、SuperVPNは1億件以上のダウンロード、GeckoVPNは1千万件のダウンロード、ChatVPNは5万件のダウンロードがあります。

一部では、これらのサービスの人気の理由は、機能のすべてまたはほとんどにお金を払う必要がないという単なる事実に起因しています。
無料またはフリーミアムサービスなどに魅力を感じない人ってあまりいないですよね?
しかし、英語のことわざのように、「無料チーズはネズミ取りの中にしかありません」。つまり、「無料」の裏にはいろんなことがありうるということです。

一体何が起こったのか、そしてなぜこのようなリーク(漏えい)が危険なのかを把握してみましょう。

今フォーラムで販売されているもの

ハッカーフォーラムの投稿者は3つのアーカイブを販売していますが、そのうちの2つには以下のデータが含まれていると言われています:

  • メールアドレス
  • ユーザ名
  • フルネーム
  • 国名
  • ランダムに生成されたパスワード文字列
  • 支払関連データ
  • プレミアム会員資格とその有効期限

7ヶ月前、何もログしていませんよと主張していた7つのVPNプロバイダーから1.2TBのデータが流出した事件がありました。
この7つの中には、SuperVPNもあったので、たまにサイバーセキュリティのニュースを読んでいる人なら、このサービス名は聞き覚えがあるかもしれません。

2つ目のアーカイブのサンプルから判断すると、例のデータベースにはユーザーのデバイスに関する詳細な情報も含まれているようです。

  • デバイスのシリアル番号
  • 電話機の種類とメーカー
  • デバイスID
  • デバイスのIMSI番号

データをログ(記録)するVPN(特に無料のもの)を使ってはいけない理由

盗難者がこれらのデータを本当に持っていると仮定すると、上記の3つのVPNプロバイダーは、プライバシーポリシーに記載されているよりもはるかに多くの情報をユーザーについて記録しているように見えます。

SuperVPNのプライバシーポリシー

本来、VPNは主に、インターネットトラフィックを暗号化し、ISP、政府、またはハッカーのような攻撃者からユーザーのプライバシーを保護するために開発されているはずです。
つまり、SuperVPN、GeckoVPN、ChatVPNはこの大事なミッションを果たせず、何百万人もの騙されやすい一般ユーザーのプライバシーを危険にさらしたということになります。

漏洩はどのようにして危険になるのか

ハッカーは、侵害されたVPNサーバに保存されているユーザーの個人情報を悪用して、フィッシング詐欺やMITM(man-in-the-middle)攻撃を行うことができます。
この場合、攻撃者は通信チャンネル(被害者と専用リソース間、または2人の被害者間)を盗聴し、傍受されたメッセージを差し替え、そこから何か有用なものを得て、ユーザーを外部リソースにリダイレクトさせようとします。ユーザーのウェブセッションが傍受されると、クレジットカードの詳細やその他の機密データが危険にさらされる可能性があります。

このリーク(漏えい)が示すように、信頼性の低いVPNを使用していると、重い代償を払わなければならないかもしれません。
このような目に会いたくなければ、安全性に関して手を抜いてはいけません。

自分の身(と情報)を守るには

【安全性ポイント❶】
まず、信頼できるVPNを使用してください。有料またはフリーミアム(製品の機能のほとんどは基本無料だが、プレミアム機能へのアクセスを得るためにはサブスクリプションが必要、という価格戦略)のものを選択したほうがいいです。
フル機能が有料ということは、サービスの信頼性を示す唯一の指標ではありませんが、重要な基準の一つではあります(つまり、「完全無料」系VPNは非常に要注意です)

なぜかというと、各VPNサービスは、ユーザーのトラフィックに対してお金を支払っています。ユーザー数が多ければ多いほど、VPNサーバーのメンテナンス費は大きくなります。
VPNサービスが完全無料である場合、サーバー、メンテナンス、開発費用等に使える収入はどこから入るのか、不思議に思いませんか?
ある有名なフレーズ通り、「製品にお金を払わない場合、あなた自身が製品になる」。つまり、ユーザー個人情報の販売・悪用などで費用をむかえてお金を稼ぐVPNサービスの多くは無料ということです。

信頼できるVPNサービスといえば、もちろん、弊社のAdGuard VPNを自信もってお勧めしております。
VPN接続を可能な限り安全にし、個人情報の漏洩からユーザーを守るために、独自のVPNプロトコル、AES-256暗号化、キルスイッチ機能などの高度な技術を採用し、常に改善し続けております。
ぜひAndroidやiOS用のアプリ、Chrome/Firefox/Edge用のブラウザ拡張機能を試してみてください。

【安全性ポイント❷】
第二に、優れたパスワードマネージャーを選択することを検討してください。これは、異なるプラットフォーム上で何十ものアカウントに同じパスワードを使用するよりもはるかに安全性が高い方法です(はい、1つのパスワードをすべてに使うのはかなり危険です)。
あなたのメールアドレスに関連付けられたパスワードが流出れされているかどうかをここまたはここでチェックすることができます。

【安全性ポイント❸】
第三に、可能な限り二要素認証を使いましょう。保護機能をさらにレベルアップして損は全くありません。
2FAは、お使いのサブスクリプションが保存されているAdGuardマイ・アカウントでも利用可能です。アカウント設定で簡単に有効にすることができます。

筆/訳: Valery Yanovsky タグ: 業界ニュース データ保護
2021年3月4日
コメントをダウンロードされますと利用規約とポリシーに同意したことになります。
新バージョン3本(Mac版、Android版、AdGuard Home)
小さめな新バージョンを3つ出しましたので、Mac版、Android版、AdGuard Homeで変わったことを一つの投稿にまとめました。
【iOS 14.5】クッキー代わりになるAppleの新技術「PCM」
ユーザーのウェブ上広告活動を追跡する方法としてのクッキーは、徐々に過去のものになりつつあります。Apple、代替手段として「PCM」を導入。しかし、それはどれだけ優れているのか?調べてみたところ、少なくとも物議を醸すものである。
AdGuardのダウンロードが開始しています! 矢印をクリックするとインストーラが開きます。 AdGuardをダウンロード頂きありがとうございます! 「開く」を選択し、「OK」をクリックして、ファイルがダウンロードされるのをお待ちください。 ダウンロードが終了し開きましたウィンドウでAdGuardを「Applications」フォルダにドラッグで移動させてください。 AdGuardをダウンロードして頂きありがとうございます! 「開く」を選択し、「OK」をクリックして、ファイルがダウンロードされるのをお待ちください。 ダウンロードが終了し開きましたウィンドウで「インストール」をクリックしてください。 AdGuardをダウンロードして頂きありがとうございます!