VPNはハッカーから私たちを守る強力なツールになり得るが、すべてのサイバー攻撃から守ってくれるわけではない。
VPN(仮想プライベートネットワーク)を使用することは、私たちのオンラインプライバシーとセキュリティを多くの面で向上させることができます。オンライントラフィックを暗号化し、IPアドレスを隠すことで、VPNは私たちをオンラインでより匿名にします。しかし、VPNはハッキングからの追加の保護も提供します。
サイバー攻撃はさまざまな方法で発生する可能性があります。たとえば、データが転送中にハッカーによって狙われることがあります。これは、メッセージがコンピュータから作業サーバーに送信される際に発生します。また、データが直接デバイス上で、ソフトウェアにインストールされたマルウェアを通じてハッカーにより侵害されることもあります。そして、私たちのオンライン活動をルーティングするVPNサーバーは、ユーザーデータにアクセスして悪用するためにハッカーの重要なターゲットとなります。
見ての通り、VPNはデータが転送中の保護にのみ効果的です。それは必ずしもデバイス自体を保護するわけではなく、ユーザーメタデータが中央に記録されるVPNのデータベースからのデータ漏洩を防ぐこともできません。さらに、VPNはソーシャルメディアアカウントで共有するような機密情報の悪用を防ぐこともできません。新しいセキュリティアーキテクチャを通じて、NymVPNのような革新的な分散型VPN(dVPN)やmixnet VPNは、このデータ集中のリスクを軽減するのに役立ちます。これは、中央制御点や障害点のない分散型ネットワークを使用し、革新的なルーティング設計を用いることで実現されます。
VPNの仕組みについて詳しく知るには、VPNがオンラインプライバシーをどのように保護できるか、できないかについての最新の解説をご覧ください。
VPNハッキング防止
ほとんどのユーザーはオンラインプライバシーと匿名性(anonymity)のためにVPNを利用しますが、特定の種類のハッキングから防御するのにも役立ちます。VPNが防ぐことができるサイバー脅威のいくつかを以下に示します。
IPアドレスのターゲティング
サイバー攻撃の主なターゲットの一つはIPアドレスです。「インターネットプロトコル」の略であるIPアドレスは、ホスト(デバイス)のネットワークに対する位置を識別する一意の番号であり、デバイスがインターネットサービスプロバイダー(ISP)と接続することを可能にします。IPアドレス自体は名前や住所などの完全な身元を明らかにしませんが、ハッカーはしばしばISPからのより具体的な情報と組み合わせてIPアドレスをターゲットにし、ユーザーの身元、閲覧習慣、さらにはおおよその物理的位置を明らかにします。
VPNは実際のIPアドレスを隠し、自分のIPアドレスに置き換えることで、IPアドレスを直接ターゲットにする攻撃から保護します。これにより、ハッカーが特定のユーザーやデバイスの脆弱性を悪用するのを防ぐことができます。
中間者攻撃(Man-in-the-middle-attacks , MitM攻撃)
MitM攻撃は、外部の敵対者が2者間のオンライン通信を盗聴する際に発生します。これは主に、セキュリティのないWi-Fiネットワークを介して行われます。これにより、プライベートな会話を盗聴したり、セッションを乗っ取ってユーザーになりすましたり、送信中のデータを盗んだり、財務記録を改ざんしたりすることができます。MitM攻撃者は、通信している2者が相互に通信していると信じている間に、データフローの中に秘密裏に位置します。
MitM攻撃は、クレジットカード情報が共有される可能性のあるeストアなど、ユーザーとオンラインサービスを安全に接続するHTTPSのような現代の暗号化および認証プロトコルによって大幅に抑制されます。このデフォルトの暗号化パラダイムと組み合わせて、VPNの特定の「トンネリング」プロトコルは、ユーザーにエンドツーエンドの暗号化とIPアドレスの難読化を提供します。
MitM攻撃者がデータを途中で傍受できたとしても、それを読み取るためには複雑な技術とリソースが必要です。
MitM攻撃は依然として可能であることを覚えておくことが重要です。特に、目的地がHTTPS暗号化を提供していない場合には、このケースではVPNを使用していても、データがVPNの出口サーバーを出ると暗号化がなくなります。VPNとウェブサイトは異なる暗号化プロトコルを使用しており、中には他のものよりも解読が容易なものもあります。
パケットスニッフィング(Packet sniffing)
パケットスニッフィング(Packet sniffing)は、外部の関係者がネットワークを通過するユーザーデータをキャプチャする能力を指します。パケットスニッファーは、ネットワーク管理者がネットワークトラフィックの監視とトラブルシューティングのために使用します。しかし、ハッカーもこれを使用して暗号化されていない機密データ(パスワードや財務記録など)を盗むことがあります。パケットスニッフィングは、有線および無線ネットワークの両方で発生する可能性があります。
MitM攻撃と同様に、HTTPSとVPNトンネリングを組み合わせることで、パケットスニッファーを妨害し、データがエンドツーエンドで暗号化されるようにします。パスワードや財務記録のような機密情報は、外部のスヌーピングに対して読み取れません。VPNは、デバイスと目的地間のトラフィックでIPアドレスを再ルーティングおよびマスクする追加機能を提供し、オンライントラフィックがあなたに追跡されるのをはるかに困難にします。
Wi-Fi盗聴(Wi-Fi eavesdropping)
Wi-Fi盗聴(Wi-Fi eavesdropping)はパケットスニッフィングやMitMに似ていますが、特に無線ネットワーク、特に暗号化されていないまたは不十分に暗号化されたものに特有です。例えば、パスワードが不要なカフェのオープンWi-Fiネットワークに接続すると、盗聴者が接続しているサイトを確認できるかもしれません。Wi-Fi盗聴者はこれらのネットワークを監視し、そこで利用可能な機密データを悪用します。あるいは、ハッカーは人々がアクセスしようとするダミーのオープンWi-Fiネットワークを設定することもあります。どちらの場合も、ハッカーがデバイスと受信者間のデータを傍受するMitM攻撃の一種です。
MitMやパケットスニッフィングと同様に、VPNはデータがハッカーに聞かれる前に暗号化と一定の匿名性を提供します。
VPNが防ぐことができないハッキング
以下は、VPNが防ぐことができないサイバー攻撃とセキュリティ脅威のいくつかです。これらの攻撃は、攻撃者がデバイス、システム、ハードウェア、またはアカウントやデータのあるサーバーにアクセスするか、アクセスを得る場合に主に発生します。銀行のデータベースが侵害された場合、VPNはデータを保護できません。
マルウェアとウイルス
マルウェア感染ファイルやウェブサイトをダウンロードまたは操作した場合、VPNはこれらの悪意のあるプログラムがデバイスに感染するのを防ぐことができません。
フィッシング攻撃
VPNは、偽のメールやウェブサイトを通じて個人情報(パスワードやクレジットカード番号など)を明らかにするように騙すフィッシング試行から保護することはできません。
マンインザデバイス攻撃
ハッカーがすでにスパイウェアやキーロガーでデバイスを侵害している場合、VPNはデバイス上のデータがアクセスされるのを防ぐことができません。
ブルートフォース攻撃とパスワード攻撃
パスワードが弱い場合や他の場所で公開されている場合、ハッカーはVPNを使用しているかどうかに関係なくアカウントにアクセスする可能性があります。
ローカルネットワーク攻撃
VPNは同じネットワーク上のスヌープからデータを保護できますが、コンピュータやローカルネットワークに直接アクセスできる人物が攻撃を実行するのを防ぐことはできません。
ゼロデイ攻撃
これらは、新たに発見された脆弱性をパッチが適用される前にターゲットにする攻撃です。VPNはソフトウェアやハードウェアの脆弱性を悪用する攻撃者を防ぐことはできません。
セッションハイジャック
VPNはデータの転送中に暗号化しますが、攻撃者がウェブサイトへの接続を確立した後にセッションをハイジャックした場合(例えば、クッキーを盗むことで)、VPNはそのような攻撃から保護することはできません。
ソーシャルエンジニアリング攻撃
これらの攻撃は、個人を操作して行動を実行させたり機密情報を明かさせたりするものです。VPNはこのような操作的戦術の結果から保護することはできません。
ミックスネットVPN保護
VPN技術が防げるハッキングの種類に加えて、利用可能なさまざまなタイプのVPNも考慮すべきです。伝統的なVPNのセキュリティ脆弱性に対応して、分散型モデル(dVPN)やミックスネットを基盤とする新しいモデルは、オンラインでのセキュリティと匿名性をさらに強化します
集中したデータは主要なターゲット
VPN暗号化はどの範囲でも、ユーザーメタデータの記録を含む可能性のあるVPNのデータベースをターゲットにするハッカーを防ぐことはできません。ほとんどの伝統的なVPNサービスは中央集権型の物理インフラストラクチャ(physical infrastructures)です。彼らは自社のサーバーを所有するか、同じプロバイダーから借りることが多いです。これは、それらが中央障害点に基づいていることを意味します。これらの中央サーバーは、数百万のユーザーの個人データを一箇所に含んでいるため、サイバー攻撃の標的となります。VPNがメタデータログを保持しないと主張しても、それは非常にありそうにないことですが、それでも金融記録を含んでいる可能性があり、あなたを特定することができます。
dVPNやNymVPNのようなミックスネットVPNは、完全に異なるインフラストラクチャを提供することでこの問題を解決します。
ミックスネットは、数百または数千の独立してリンク不可能なサーバー(ネットワークに貢献する個人によって運営される)で構成される分散型オーバーレイネットワークです。ミックスネットVPNは、データの暗号化とトンネリング、IPアドレスのマスキングという基本的な方法で伝統的なVPNと同じように機能します。しかし、データが一つのサーバーを通過する代わりに、他の人のトラフィックと混合され、リンク不可能な複数のサーバーを通過し、到達するまでに複数のホップを経て送信されます。これにより、データが一箇所に存在しないため、データ漏洩が事実上不可能になります。
トラフィック分析耐性
ハッカーはしばしば、ユーザーのトラフィックを分析するための高度な技術リソースを持つ政府や機関によって雇われます。ミックスネットの分散アーキテクチャは、VPNの単一サーバーで利用可能なすべてのデータをターゲットにするのとは対照的に、この高度なトラフィック分析を非常に困難にします。ミックスネットの分散ルーティングアーキテクチャとデフォルトのマルチホップは、トラフィックのルートを追跡するのを非常に困難にします。さらに複雑にするために、データは多くのノードの一つを通過するときに他のトラフィックとランダムに混合されます。トラフィック分析をさらに複雑にするために、ダミーパケットがネットワークボリュームを増加させるために使用されます。
高度な暗号化
従来のVPNとミックスネットVPNの主な違いは、使用される暗号化の種類と質です。従来のVPNは通常、ユーザーデバイスとVPN出口ノードの間で一つの形式と層の暗号化を使用し、そこから(希望する暗号化された)目的地に送信される前に暗号化が解除されます。ミックスネットVPNは、データの周りに多層(または「オニオン」状)の暗号化(multi-layered encryption)を通じてユーザーの匿名性を強化します。
各層は、データを再ルーティングするノードに対応します。そのノードを通過すると、特定の暗号化層が取り除かれ、次にデータを送信する場所が明らかになります。データの完全なルートを明らかにするには、多くのノード、またはエントリとエグジットノードの両方を制御する必要があり、これは非常に困難です。
結論
従来のVPNは、特定の基本的なハッキング試行をブロックし、より高度なものをより困難にするのに役立ちます。しかし、これはデバイスとVPNのサーバー間のデータが転送中の場合に限られます。VPNはデバイス自体を保護することはできず、VPNのデータ集中はユーザーにとって深刻なセキュリティリスクをもたらします。中央サーバーは、個人情報だけでなく数百万の他のユーザーのデータと履歴を危険にさらすサイバー攻撃の魅力的なターゲットです。
最終的に、VPN技術はサイバーセキュリティ脅威に対する万能の解決策ではありません。VPNを使用することは、インターネットセキュリティを向上させるための重要なステップですが、他のセキュリティ対策と組み合わせることが重要です。これには、強力で一意のパスワードの使用、ソフトウェアの最新状態の維持、クリックするファイルやリンクに対する慎重な態度、信頼できるウイルス対策ソフトウェアの使用が含まれます。
市場にある多くの大手で「信頼できる」VPNの中から選ぶ前に、中央集権型VPNのリスクに見合うかどうかを考慮することが重要です。オンラインプライバシーを本当に心配している場合、dVPNやNymVPNのようなミックスネットVPNは、ユーザーにとって強化されたプライバシーを提供することができます。