初めに – 究極のアノニミティーを求めて
前回この記事で、「先日俺を襲った、俺のサイバーライフ始まって以来の未曾有のウィルス被害」についてお伝えした。当事件のおかげで俺はサイバーワールド(およびリアルワールド)での存亡が危ぶまれる事態に陥ったわけだが、それにより俺のなかで以下のような絶対ルールが生まれたわけだ。
ルール1:絶対に、IPアドレスを知られるな!
ルール2:絶対に、通信を傍受されるな!
ルール3:絶対に、PCをオンラインで放置するな!ルール4:ファイト・クラブのことは口外するな!
ルール5:絶対に、ファイト・クラブのことは口外するな!
幸い、ルール1と2を(それと部分的には3も)まとめてケアできる「VPN」という素晴らしい技術が存在しているようなので、今回の記事ではVPNについての基礎的な知識と、巷で他に右に出るもののないVPNサービスプロパイダ「NordVPN」についての情報をまとめていく。本記事のスローガンはそう、「技を極めて、ネット世界を忍者のごとく駆け巡れ!」
VPN(Virtual Private Network)とは
VPN(仮想プライベートネットワーク)とは、インターネットにおけるプライバシー保護とセキュリティ強化のための技術で、ユーザーデバイスとアクセス先サーバーとの間に「仮想トンネル」を作ることで実現される。これにより以下のような効果が得られる。
- ①高いセキュリティ
仮想トンネルを通過したインターネットトラフィックを暗号化し、第三者がデータを盗聴するのを防いで、ユーザーのオンライン活動を匿名化する。またこれにより、外部から見るとユーザーのIPアドレスがVPNサーバーのものに置き換えられることになるが、単に中継地点を追加するだけの「プロキシサーバー」とは違って、VPNは通信が暗号化されるので、さらなるセキュリティ強化に繋がっている。 - ②公共Wi-Fiの安全利用
カフェや空港などの公共Wi-Fiネットワークや、職場などの不特定多数のデバイスが接続されるLANのなかでは、悪意を持った攻撃者によって通信内容が傍受されている可能性がある。こういった環境でインターネットを使用する際も、VPNの暗号化技術を利用することで、データの盗難やハッキングのリスクを減少させることができる。 - ③地理的制限の回避
一部のコンテンツやサービスは地域ごとに制限されている。例えば特定の国からはアクセスできないようになっているウェブサイトなどである。VPNはプロキシ機能もあるので、これにより異なる地域のサーバーを経由することで、この制限を突破することができる。
NordVPN(ノードヴィーピーエヌ)
ノルウェーに拠点を置くこのVPNサービスプロバイダは、AES-256ビット暗号化、DNSリダイレクション、およびスイートモード(VPNサーバー間でデータをループさせる機能)を提供している。またトラフィックシャッフル(ネットワークトラフィックをランダムに再配置することで、攻撃者が特定のパケットを追跡するのを難しくする技術)や、キルスイッチ(VPN通信が切断された場合に自動的にネット接続を切断する機能)、ノーログポリシー(利用者の活動やデータを一切記録しないという方針)も持っており、セキュリティの観点から言えば、現在最も高性能のVPNサービスだと思われる。
使用を開始するには、まずNordVPNの公式サイト(ちなみにこちらは俺からの招待ページだ。お互いに契約期間が延長されるので、よかったら使ってほしい)にアクセスして購入に進み、任意のプランを選択し、支払方法の情報とアカウント作成用のメールアドレスを入力する。この先に進むとその時点で支払いは完了し、続いてアカウントパスワードの入力に移る。任意のパスワードを設定した後、先のメールアドレス宛に届く認証コードを入力し、アカウント作成を完了する。
プランについてのおすすめは「プラスプラン」で、これはVPNとしての機能の他に後述する「NordPass」というセキュリティ機能も含まれている。より上の「コンプリートプラン」ではさらに1TBのクラウドストレージが付いてくる。VPNの利用だけでよければ「ベーシックプラン」を選べばいいだろう。
サイトにログインすると「Nord Account」画面になり、ここから各種ソフトウェアのダウンロードや、利用中プランや請求情報などが閲覧できる。早速「NordVPN」をインストールして、VPNを有効にしていこう。
NordVPN(クライアントソフト)
NordVPNが提供するVPN機能本体のこと。このクライアントソフトでユーザーからの通信を暗号化し、VPNサーバーで複合化されて目的のサーバーへ送信される。その逆ではVPNサーバーが暗号化を施し、クライアントが複合化する。VPNによって暗号化された通信が通る経路を比喩的に「仮想トンネル」と呼んでいるのだ。
アカウントページから「ダウンロード」→「Windows 向け NordVPN」の「アプリをダウンロード」をクリックして、インストーラを保存する。ガイダンスに従ってインストールし、先ほど作成したアカウントでログインすると、自動的にどこかのVPNサーバーに接続されて、通信が保護される。IPアドレス確認サイトで別のアドレスが確認できれば、ひとまず正常動作していると思われる。
接続するVPNサーバー
NordVPNは「自動サーバー切り替え」という機能で、特定の条件下(利用不可状態か通信速度低下時)で接続するVPNサーバーを自動で別のものに切り替えてくれるが、逆に言えば安定している場合はサーバーの切り替えは行われない。そのため定期的に手動でサーバーを選んで切り替えることをおすすめする。また最初に自動接続したときに自国のサーバーが選ばれることが多いが、それは物理的に近くにあるサーバーの方が速度と安定性に優れているためである。もしそれらとトレードオフする容でセキュリティを若干向上させたいなら、別の国のサーバーを選ぶのがいいだろう。
バランスの取れた選択肢として、近隣の国を選択するのもいい手だ。例えば日本の場合は「韓国」「中国」「ロシア」「台湾」などが挙げられるが、中国とロシアはやめておくべきかもしれない(それらの国にあるサーバーは信頼できないという情報を見た)。セキュリティを最大にしたいなら利用者の多いアメリカなどにすべきか。
他にも「特殊サーバー」と呼ばれる特定の目的に特化したサーバーがある。「P2Pサーバー」はファイル共有やトレントダウンロードに最適化された(無制限の帯域幅を提供しており、大きなファイルのダウンロードやアップロードがスムーズに行える)サーバーで、「Double VPN」は2つの異なるVPNサーバーを経由してルーティングする二重セキュリティ機能で、「Onion Over VPN」はTorネットワークをVPN経由で利用する最高のセキュリティ機能だ。
基本的なウェブブラウズには通常のVPNかDouble VPNを用いて、トレントソフトなどの利用時はP2Pサーバーを利用、安全性が疑わしいサイトにはOnion over VPNを用いるのがいいだろう(もっとも、これを用いても通常のブラウザよりTorブラウザの方が高い匿名性を持っていることは理解しておく。詳しくは後述の章を参照)。
脅威対策Pro(Threat Protection Pro)
NordVPNに組み込まれた強力なセキュリティ機能。以下のようなものがあるが、主にウェブブラウジング中の脅威をターゲットにしているため、オンライン活動中の追加セキュリティレイヤーとしては非常に有用である一方、包括的な保護を行う場合はやはり、システム全体のスキャンと脅威の隔離・削除が行える専用のセキュリティソフトに軍配が上がるだろう。
- マルウェア対策
脅威対策Proによって提供される機能の本体。ウイルスやマルウェアからデバイスを保護するためのシステムで、以下のような機能により、不審なファイルやプログラムが検出すると、DNSレベルで自動的にブロックする。
ちなみに「マルウェア」とは悪意のあるソフトウェアの総称であり、自己複製機能のある「ウィルス」の他、スパイウェア、トロイの木馬、ランサムウェア、ワーム、アドウェアなどを定義に含む。それぞれのマルウェアに関しては別の機会に取り上げることとする。 - 脆弱性スキャナー
デバイス上のソフトウェアに存在するセキュリティホールや脆弱性をスキャンし、修正のためのアドバイスを提供する。 - マルウェアスキャナー
ダウンロード中のファイルをスキャンして、既知のマルウェアやウイルスの存在をチェックする。さらに「クラウドベースの脅威スキャナー」をオンにすると、疑わしい実行ファイルをクラウド上にアップして、そこで最新の脅威情報をもとに最終スキャンを実行できる。
NordPass(ブラウザ拡張機能)
ブラウザに保存された各種パスワードなどの情報を暗号化したり、パスワード自動生成やパスワードの安全性をレビューする機能。Nord Accountページの「NordPass」より利用を開始でき、ブラウザの拡張機能として追加される。追加したらまずは、既存のブラウザからパスワード情報をインポートしよう。以下にMicrosoft Edgeを使ったやり方を示す。※NordPassの画面は全て英語表記なので、ブラウザのページ翻訳機能を使って日本語にしておくと作業しやすい。
- Microsoft Edgeで「…」メニューから「設定」→「プロファイル」→「パスワード」と進み、右上の「…」メニューから「パスワードのエクスポート」をクリックして、パスワードデータ(CSVファイル)をローカル環境に保存する。
- そのファイルをNordPassのインポート画面にドラッグ&ドロップする。これでインポートは完了だ。これが終わったら、ローカルに保存したCSVファイルは必ず削除しておく。
パスワードの正常性
続いてそれらのパスワードが現在安全かどうかを調べていく。左のメニューより「ツール」→「パスワードの正常性」へと進み、登録されているパスワードに潜む問題を明らかにする。「公開されたパスワード」ではダークウェブ上で見つかったパスワードが表示され、これらは非常に危険なためすぐにパスワードの変更を推奨する。
次のパスワードの正常性チェック項目としては、「脆弱なパスワード」がある。ここに表示されているものは、パスワード強度が低いことが示唆されており、これもより強力なものに変更することが好ましい。恐らくPCを長く使っている人はこの項目が多くなっているので、全てを変更更新するのは時間がかかるだろう。そんなときはネットショッピングサイトなど、重要度の高いものから随時変更していくのが望ましい。
「パスワードの再利用」項目では、複数のアカウントで同じパスワードを使用してしまっている場合それらが表示される。一般的なネットリテラシーを持ったユーザーであれば、パスワードを使いまわさないか、使いまわすにしても重要度の低いサイト間のみであろうことから、上記の二項目ほど重大ではないが、ざっと確認してみるといいだろう。
最後にやっておくべきことは、「データ侵害スキャナー」の実行である。これはメールアドレスやクレジットカードの情報が、何らかのタイミングにどこかのウェブサイトで漏洩したかどうかを調べる機能で、もし漏洩が見つかった場合は、こちらも早急にパスワードの変更や、クレジットカードの停止などの処置を講じる必要がある。対策が済んだら、該当の侵害に関する画面内で「解決済みとしてマークする」をクリックし、手動で問題のステータスを解決済みとする。
サイトアカウント以外のパスワード
パスワードの正常性チェックにて、「https://192.168.X.X」のようなローカルIPアドレスが表示された場合、LAN内にある何らかのデバイスへのアクセスパスワードの可能性があるため、これもすぐに変更することを推奨する。特にそのデバイスが無線LANルーターである場合、そのネットワーク全体が危険にさらされている可能性があるのでより注意が必要だ。
もしそのデバイスが何かを知りたい場合、ターミナルで「ipconfig」コマンドを実行することで、接続されているネットワークアダプタの一覧と詳細情報を見ることができる。そこの「イーサネットアダプター」→「デフォルトゲートウェイ」に表示されているものが、ルーターのローカルIPアドレスであり、もしこれが先ほどのIPアドレスと一致しない場合は、ひとまずターゲットはルーターではないことになる。
となるとルーターに接続された別の機器ということになるので、それを特定するためにルーターにアクセスして接続された機器の一覧を確認することになる。ウェブブラウザにルーターのIPアドレスを入力し、求められるログイン情報を入力してアクセスする。もし初期状態であれば、「user」や「admin」、「password」などの文字が割り当てられている場合が多い。それはそれで危険なので、もしログイン出来たら変更しておく。
接続されたデバイス一覧を表示する方法は機器によって異なるが、もしそこで該当のIPアドレスがあればそのデバイス名から機器を特定できる。デバイス名が表示されていないならば、MACアドレスから手動で特定していくしかない。IPアドレスが該当しない場合、少なくとも現時点ではそのデバイスがLAN内に存在しないことになる。その場合は現在作動していない機器か、外出中の人物の携帯電話(スマートフォン)などが怪しいが、もっとも楽観的なシナリオは、そのデバイスがもはや存在しない(例えば昔のWi-Fiルーターなど)という場合である。全く心当たりがない場合はパスワード情報自体をブラウザから削除してしまえばいいだろう。
トレントソフトとVPN設定
もっとも匿名性が必要な行為の一つが、トレントクライアントソフトを利用したP2Pネットワークのファイル共有だろう。これには先ほど説明した「P2Pサーバー」をVPNとして設定する他に、トレントソフト側の設定がいくつか必要になる。今回はそれらの手順をqBittorrentを例にして説明する。
qBittorrentとVPNのバインド
トレントクライアントソフトをVPNとバインドすることによって、トレントソフトの接続がVPNを通じて行われるようになる。まずqBittorrentを起動し、歯車アイコンから「設定」に入り、「高度(Advanced)」→「ネットワークインターフェース(Network interface)」の項目に表示されているプルダウンメニューをクリックし、適した任意のプロトコル名に設定し「OK」をクリックする。以下にこちらの環境で見られた気になるプロトコル名とその説明を記す。
- Nord Lynx
NordLynx(ノードリンクス)はNordVPNが提供する新しいVPNプロトコルで、高速で安全な接続を提供する。一般的には最もパフォーマンスが良い選択肢。 - OpenVPN Data Channel Offload for NordVPN(DCO)
OpenVPNというプロトコルの接続パフォーマンスを向上させたバージョン。通常、データチャネルの暗号化と復号化はユーザースペース(ユーザーアプリケーションやサービスが動作する領域)で行われるが、DCOを使用するとこれらのタスクがカーネル空間(OSの中核部分)へオフロード(移譲)され、そこで処理される。これにより、データの処理効率が向上し、オーバーヘッド(目的の機能を実行するために必要な追加の計算や処理)が減少する。 - Loopback Pseudo-Interface 1
ローカルデバイス間の通信のために使用されるネットワークインターフェース。主にテストや診断のために使用され、実際のネットワーク接続がなくても、自分自身と通信することができる。これにより、ネットワークの設定やプログラムの動作確認を行うことができる。
qBittorrentに関するその他の設定
またVPN設定とは別に、「BitTorrent」タブから「匿名モードを有効にする」オプションにチェックを入れておく。これによりIPアドレスやqBittorrentが使用しているユーザーエージェント(サーバーにリクエストを送信する際に、自分自身に関する情報を提供するための識別文字列)などが相手に伝わるのを防ぐことができ、VPNと合わせて二重のセキュリティを敷くことができる。その分通信速度やダウンロード可能性が減少するデメリットがあるが、匿名性には代えられない。
さらにその上の「暗号化モード」では、初期状態で「暗号化を許可」になっているが、これでは暗号化された接続を優先はするが、暗号化されていない接続も許可してしまうので、「暗号化を必須」に変更するとさらにセキュリティが向上する。こうすると同じ暗号化されている相手(暗号化モードかVPNを使用している相手)とのみ接続が有効になるので、より安全になる一方、有効なピアが減少するのでダウンロード可能性が減少する。
qBittotorrentのVPNテスト
まずIPアドレスマスクをテストするには、VPNオン匿名モードオフの状態を作り、任意の合法なトレントファイルからP2Pファイル共有を始める。そして別のPCから同じP2Pネットワークに入り、ピアのIPアドレスがVPNサーバーのものに置き換わっているのを確認する。またキルスイッチのテストをするには、トレントダウンロード中にVPNを切断することで、ダウンロードが停止するかを確認する。もし停止しない場合、NordVPN側でキルスイッチが有効になっていない可能性があるので確認する。
最後にVPN自体のテストになるが、インターネット速度測定サイトにアクセスすれば、VPNを通した通信速度を測ることができる。正常に動作していれば速度は低下しているはずだ。その他DNSリークテストはSurfsharkやNmapなどのネットワーク解析ツールで行うことができるが、やや高度なのでここでは割愛する。ネット上の情報では、NordVPNのサーバーはこのテストをパスしているようだ。
TorとVPNによる最強の匿名性
先ほどこちらの項でTorネットワークとVPNの同時利用に関して少し触れたが、これらを正しく理解して利用することで、ネットワーク上において最強の匿名性を実現することができる。まずはそれぞれの用語を学習しよう。
- Tor(The Onion Router)
Tor(トーア)とは匿名通信を実現するためのネットワークおよびソフトウェアプロジェクトである。ユーザーのインターネットトラフィックを複数の中継ノードを経由(リレー)してルーティングし、各リレーごとに暗号化を行うことで高い匿名性を提供する。 - Onion
Torネットワークの中で使用される「オニオンルーティング」という技術。オニオンルーティングでは、データは複数の層(レイヤー)に暗号化され、それぞれのレイヤーが異なるリレーで解読される。この過程が玉ねぎ(Onion)の層のように見えるため、「Onion」という名前が付けられた。
まとめると、Torは匿名通信を提供するネットワークおよびソフトウェアのことで、OnionはTorネットワーク内で使用される多層暗号化技術のことである。つまりTorネットワークを使用するブラウザ「Tor Browser」を単体で使用した場合、ネットワークとしては「ユーザー⇔Onion」ということになり、Onion Over VPNを使って通常のブラウザを使用した場合は「ユーザー⇔VPN⇔Onion」となる。よってネットワークの安全性のみに絞れば、Onion Over VPNの方が優れていることになる(ISPにもOnionを使っていることを知られない)。
しかし先ほどTorブラウザの方が総合的には匿名性に優れていると言った理由は、Torブラウザがクッキーや履歴の保存を最小限に抑えたり、地域を悟られぬよう言語設定を英語にしたり、モニターサイズを悟られぬようフルスクリーンを非推奨にしたりする設定がデフォルトで有効になっている点を考慮した結果である。攻撃者がこちらを識別できるような情報を一切与えないように設計されているのだ。もっとも、それらは利便性を引き換えに行っているため、使用しやすさでいえば断然、通常ブラウザを使える後者が勝っているわけだが……。
とは言え世の中にはさらなる匿名性を追求したネットワーク形態が存在する。ここではその深淵の一旦をのぞいてみることにしよう。
- Tor Over VPN
VPNを起動した後でTorブラウザを起動することで実現できる。ネットワーク構図としてはOnion Over VPNと同じだが、Torブラウザを使用していることでさらに匿名性が高い。同じくISPはユーザーがVPNを使用していることしか認識できず、Tor出口ノードから出たトラフィックは暗号化されない特徴がある。 - VPN Over Tor
まずTorブラウザを起動し、それからVPNを起動する。こうするとユーザーからのデータは最初にTorネットワークを通過し、その後VPNサーバーに送信されることになり、VPNサーバーはユーザーのトラフィックの起点がTor出口ノードであると認識する。つまりVPNプロバイダ側に本当のIPアドレスを知らずに通信を処理できる。 - Tor over Onion over VPN(Double Onion)
Onion Over VPNを起動した後にTorブラウザを起動する。こうすると「ユーザー⇔VPN⇔Onion⇔Onion」という構図になり、もはや現実的には何人たりともユーザーの痕跡を追跡してくることはできなくなる。利便性と速度を全てかなぐり捨てた最強の安全通信だ。
お終いに – これであなたもアノニマス
これまでサイバーセキュリティは、ハッカーや国家安全保障に携わるような一部の人間だけに求められるリテラシー(ある分野に特化した知識やその活用術)だと思われてきた。しかしネットワーク側の立場から見れば、オンラインであるデバイスはどれもが平等であり、それぞれがいつ何時”攻撃者”になるか、あるいはその”標的”になるかは分からない状況だ。
これからはIoTの時代に移行し、求められるリテラシーはさらに増加していくだろう。だからパソコンやスマホのみならず、それが冷蔵庫であれテレビであれ、洗濯機であれ自動車であれ、プリンターであれエアコンであれ、ロボットであれゲーム機であれ、それが”オンライン”であるならば、漏れなくセキュリティが必要となると理解しておくべきだろう。
しかし案ずることなかれ。本記事で学んだキーワード「IPアドレスの秘匿化」と「通信の暗号化」は一生使える根本的なセキュリティ概念ゆえ、もし今後あなたが新しいハイテク機器を導入する際には、こう店員さんに聞いてみればいいのだ。「それってIPアドレスは隠せますか? 通信は暗号化できますか?」と……。
さすれば店員さんが具体的な技術説明や、そのオプションの説明をしてくれるだろう。それを注意深く聞いて、もし納得できたなら、悪いことは言わない――そのときは金に糸目は付けず、即契約するべし。そして家に帰ってしばらくはその環境を享受しながら、時間のあるときに技術や契約プランを再度吟味して、必要に応じてよりよいものに乗り換えていくべし。この分野でケチってはいけないことを、ゆめゆめ忘れることなかれ。
さて、この記事を書くのに時間を使いすぎて、早速ルール3に抵触してしまったようだ。なのでこの辺でお暇させていただこうか。それでは最後まで読んでくれてありがとう。また次の記事で会おう(今気づいたが今回は、話題に影響されて口調が固くなりすぎてたね、ごめんなさい)。
コメント