本記事はプロモーションを含みます
最近、SNSを匿名で利用できないのか?という問い合わせをよく受けます。
法改正によってISPへの情報開示が簡素化されたことに加えて、SNSに投稿した方が訴訟の対象となったり逮捕されたりするニュースを目にするようになり、ネットでの匿名性やプライバシーを気にする方が増えたためだと思われます。
結論から書くと、ネットで匿名になること自体はそれほど難しくありません。
一番簡単で費用もかからない方法はTorを使うことです。ただしTorは通信速度が遅くアクセス制限の対象となっている場合があるため使い勝手が良くありません。そのため、匿名VPNを使ってネットで匿名になるという方法がよく使われています。
本記事では、どのようにしてネットで個人が特定されるのか、そして、それを防ぐにはどのような方法があるのか詳しく解説してきます。
Contents
ネットで身元が特定されるまでの流れ
インターネットで匿名性を保つにはIPアドレスを隠す必要があります。
最近、著名人に対してSNSで誹謗中傷を繰り返し書類送検されたり逮捕されるケースが目立ちますが、彼らが簡単に身元を特定されるのはIPアドレスを隠さずにSNSを利用していたためです。
インターネット上で身元を特定されるまでの過程は次のような流れになります。
たいていは個人情報保護を理由に断られます。海外の企業の場合は無視されることもあります。どちらにしても、弁護士に依頼した方がスムーズに解決できます。
運が良ければ情報開示によってIPアドレスが提供されます。この情報があればISPに対して発信者情報開示請求ができます。
正確な発信日時とIPアドレスを提示して発信者情報開示請求をおこないます。プロバイダにはプロバイダ責任制限法(第4条1項)があり、この法律の要件を満たしていない限り発信者の情報は開示されません。
ISPが開示請求に応じた場合は発信者の名前と連絡先が分かります。
結構大変ですよね。X(旧:Twitter)は情報開示請求を無視することがあるので、まずはSNS事業者が迅速に情報開示請求に応じるかという点が重要です。
「迅速に」と書いたのは、ISPは法律で通信履歴を90日間保存する決まりがあるのですが、90日を過ぎると履歴が破棄されることがあり、その場合は発信者情報が開示できないためです。
そのためSNS発信者の身元を特定したい場合は1日も早く動く必要があります。
SNSを匿名で利用する方法
SNS利用者の身元を特定するために利用される情報はふたつあります。
ひとつ目がさきほど書いたIPアドレスです。X(旧:Twitter)などでつぶやくときに使ったパソコンやスマホのIPアドレスから身元が特定されます。
もうひとつがメールアドレスです。アカウントをつくるときにメールアドレスを登録すると思いますが、そのメールアドレスから身元を特定できます。
匿名のメールアドレスを使う
インターネット上には匿名メールサービスというものがあるので、SNSで匿名アカウントをつくりたい場合は匿名メールを使うと良いでしょう。匿名メールは無料でアカウントを作成できます。
身元を隠してメールを送る|プライバシーを守るための匿名メールサービス
ただし、匿名メールも注意が必要です。というのも、匿名メールでもIPアドレスを収集していることがあるからです。ProtonMailは匿名メールとして有名ですが裁判所命令があれば利用者のIPアドレスを開示します。
ProtonMailが欧州刑事警察機構からの要請で利用者情報を提供か
匿名メールを使う場合は、これから解説する匿名VPNを使ってアクセスすると良いでしょう。
IPアドレス自体を隠す
インターネットで匿名になるには本当のIPアドレスを隠す必要があります。本当のIPアドレスとは、たとえば自宅からインターネットにアクセスした際のIPアドレスです。
IPアドレスを隠すおすすめの方法はふたつあります。
TorでIPアドレスを隠す
ひとつめはTorを使う方法です。匿名通信に興味がある方はTorをご存じでしょう。Torはオニオンルーティングを使って3つのサーバーを経由させ匿名性を高めます。
Torのメリットは手軽に匿名化を手に入れることができる点です。Torブラウザを公式ホームページからダウンロードすれば、すぐにTorを使い始めることができます。しかも無料です。
デメリットは通信速度が非常に遅い点、そして通信が監視されている点です。また、Torの出口ノードは公開されているためFWなどでTor通信がブロックされる場合があります。Torの出口ノードのIPアドレスでブロックしている場合はTor経由でのアクセスはできないので注意してください。
Torでの身バレ、どう防ぐか?匿名化が崩れる原因と対策
匿名VPNサービスを使う
ふたつめは匿名VPNサービスを使うことです。匿名VPNサービスというのは利用者のIPアドレスや通信履歴を隠してプライバシーを保護するサービスです。
匿名性の高いVPNサービスは海外で運営されており、通信履歴を残さない「ノーログポリシー」で運営されています。ノーログポリシーは外部機関の調査によって実証されていることが望ましいでしょう。実証されたノーログポリシーで運営されているVPNサービスを使っている場合、通信履歴が開示されないので身元が特定されることはありません。
匿名VPNのメリットは手軽に匿名化できる点と通信速度が非常に速い点です。デメリットは有料サービスのため多少のコストが必要な点です。
匿名性の高いVPNサービスの選び方を分かりやすく解説
おすすめの方法は匿名VPNサービスの利用
Torは匿名性が高いのですが身元を特定する攻撃方法がいくつかあり、しかもTorの出口IPアドレスは公開されているのでアクセス規制の対象となることがあります。
匿名性を高めた状態で快適にネットを使いたい場合は匿名VPNサービスがおすすめです。常にVPNでインターネットに接続している場合、身元を特定される可能性が極めて低くなります。
VPNサービスを使う場合はノーログポリシーが実証されている事業者を選びましょう。おすすめのVPNサービスの中でノーログポリシーが実証されているのは3つだけです。
この中で特におすすめなのはNordVPNです。NordVPNはパナマで運営されており、通信速度が速くて信頼性も高いためです。PIAはアメリカで運営されているため若干の不安があり、ExpressVPNは使いやすくおすすめですが若干値段が高いです。ただしLinuxを利用されている方はLinux向けの専用アプリが用意されているPIAの方が使い勝手が良いでしょう。
詳細は上記3つのVPNの比較記事をご覧ください。
ノーログポリシーが実証されている匿名VPNおすすめランキング
Torを使う時もVPNは併用した方がいい
Torは正しく使えば高い匿名性を維持できますが、匿名性を維持できるのはTor経由の通信だけです。
当然の話なのですが正しく理解していない方が多くいらっしゃいます。たとえばホスト名の名前解決をTor経由でおこなわなかった場合、DNSサーバーにクエリーログが残ります。このときのIPアドレスはあなたの本当のIPアドレスです。
また、ブラウザの脆弱性を利用される、あるいはリダイレクト攻撃などを受けるなどしてTorを介さない通信を強制された場合も本当のIPアドレスが露呈します。
そのため、万が一Torで保護されない状態になった場合でも本当のIPアドレスを隠す最後の砦として、Torを利用する際は匿名VPNと併用することをおすすめします。
使い方は簡単で、単にNordVPNなどの匿名VPNで接続した状態でTorに接続するだけです。
ほぼ完全に匿名化 | VPNとTorを併用する方法を分かりやすく解説
本当に匿名性を手に入れたければ仮想マシンを使う
個人的にはTails Linuxもおすすめなのですが、Tails Linuxはお世辞にも使いやすいとは言えず、おそらく多くの一般利用者のニーズには合っていないと思います。
そこで、わたしがおすすめするのはVMwareなどの仮想マシンを利用する方法です。
Windows、Mac、Linuxなんでも構いません。
上記のようにしてクリーンな状態のスナップショットを作成しておきます。あとはTorや匿名VPNを使いインターネットにアクセスします。
そして使い終わったらクリーンな状態のスナップショットを使って復元します。この方法であれば、万が一マルウェアに感染しても元に戻せるので安心です。また、OSの片隅にアクセス履歴などが残っていてもクリーンな状態に復元されるので消去されます。
この方法で運用する場合、ローカルストレージにデータを残すことができないので外部ストレージやクラウドストレージなどの利用を検討してください。
また、OSやアプリケーションをアップデートする際はクリーンスナップショットから起動した状態で実行し、アップデートが完了したら新たにスナップショットを保存しておきます。
この方法はとても面倒なのですが、匿名性を気にされるのであれば、最低でもこれくらいの対策は必要です。
ヤフコメの電話登録は注意が必要
ここまでIPアドレスを隠して匿名性を高める方法を解説したのですが、2022年11月15日からヤフコメは電話番号の登録が必須になります。
IPアドレスではなくて電話番号から発信者を特定する場合はISPへの開示請求が不要になるので身元の特定が迅速に行われます。
ただしVPNを使っている場合はISPの通信履歴にSNSの利用履歴が残らないので、アカウントを乗っ取られたという苦しい言い訳をすれば多少の望みはあります。
VMwareなどの仮想マシンを使って匿名通信をおこない、誰にも見つからないように仮想マシンを削除してストレージにも痕跡を残さなければ逃げ切れる可能性はあります。どちらにしても家宅捜索されるのでパソコン内から迅速かつ確実に仮想マシンを削除する必要があるでしょう。
ただし、これがうまくいく可能性は高くないので、SNSでは節度を持った発言をしてください。
お疲れ様です。
VMwareなど仮想マシンで作業して、
スナップショット時点に巻き戻す、
とても興味深いでした。
こちらは巻き戻りさえすれば、
例え専門業者がパソコン押収の上、
解析しても一切ログを拾えないということです?
コメントありがとうございます。
本サイトではVMwareのスナップショット機能の利用をおすすめしていますが、目的はふたつあります。
・OSやアプリに残っている履歴の削除漏れを防ぐことができる
・マルウェアに感染しても元の状態に戻すことができる
もしスナップショットを巻き戻した直後にディスク解析された場合、専門業者であればログを一切拾えないということはないはずです。
ただ、通常はディスク解析されるのはスナップショットを巻き戻した数ヶ月後なので、その場合は過去のログを復元できる可能性は低くなります。
家宅捜索まで気にされる場合は、VMwareの仮想マシンを外付けのM.2 SSDに保存することをおすすめします。
M.2 SSDは通常マザーボードに直接差し込みますが、ケースに入れてUSB接続することもできます(アマゾンで探せばすぐ見つかります)。
マンションにお住まいの場合はUSBポートからSSDを引き抜いて共用部に投げ込めば一時的に待避できますすし、ケースからM.2 SSDを取り出して物理破壊すればデータを完全に消去できます。
一般的な外付けSSDだと頑丈にできていて物理破壊が難しいので、基盤を直接破壊できるM.2 SSDがおすすめです。
Tor使用の際に、Javascriptが元で生ipがわかってしまう事例があると聞きましたが、TwitterをVPN挟んで使った場合同じようなリスクはありますか?
上記の漏洩メカニズムが分かってないでの質問で見当違いでしたら申し訳ありません。
コメントありがとうございます。
>TwitterをVPN挟んで使った場合同じようなリスクはありますか
Javascriptを有効化している場合、匿名化専用のマシンを用意していない限り同じようなリスクがあります。
ただし、後述しますが一般ユーザーであればそこまで気にする必要はないと思っています。
少し長くなりますが、漏洩のメカニズムを解説します。
Javascriptを有効化している場合、キャンバスフィンガープリントを取得される場合があります。
キャンバスフィンガープリントはパソコンやスマホなどから複数の情報を取得し指紋のようにユーザーを識別する技術で、ユーザーのインターネット上での行動を追跡するために使われます。
例として、わたしが匿名化しない状態でインターネットにアクセスした際にキャンバスフィンガープリントを取得されるとします(フィンガープリント①)。
別の日、匿名化した状態でインターネットにアクセスした際に再びキャンバスフィンガープリントを取得されたとします(フィンガープリント②)。
もしフィンガープリント①とフィンガープリント②が一致すると、フィンガープリント①の通信とフィンガープリント②の通信が関連付けられます。
そしてフィンガープリント①の通信履歴から、匿名化通信をおこなった人物がわたしだと特定されます。
これがコメント頂いた「Tor使用の際に、Javascriptが元で生ipがわかってしまう」状態です。つまり、直接IPアドレスが漏洩するのではなく、間接的に漏洩するということです。
ちなみにフィンガープリント①とフィンガープリント②は同じサイトで取得されるとは限りません。
極端な話をするとアマゾンで買い物したときとダークウェブにアクセスしたときにキャンバスフィンガープリントを取得され、身元の特定につながる可能性もゼロではないということです。
無論、それは極端な例ですがNSAのような組織を相手にした場合、そのようなリスクがあるということです。裏を返せば、あなたが国際的なテロ組織に属していたり諜報機関に目を付けられるような人物でない限り、そこまで心配する必要はないと思います。
もしも匿名化を徹底したい場合は匿名化専用のマシンを用意することです。本サイトではVMwareなどの仮想マシンの利用をおすすめしています。
匿名化専用のマシンがあればキャンバスフィンガープリントを取得されてもリスクは下げられます。
また、Torは単体で使うのではなくVPN経由でTorを使う(Tor over VPN)ことをおすすめします。これは万が一Tor経由でIPアドレスが漏洩してしまった場合の対策となります。
大変わかりやすい解説をありがとうこざいました。この辺の仕組みがどうなっているのか実は興味があって、しかしどこにも詳述されてないのでありがたいです。自分でも勉強します!
先程のものですが、頂いた情報をもとにもう一つ質問いたします。
例えば、あるSNS運営会社が運営しているSNSでJavascriptを利用してキャンバスフィンガープリントをユーザーがアクセスする事に取得していたとします。
このケースにおいて、ユーザーが同じPCで、同じブラウザを使うことを前提として複数のアカウントを異なるVPNのIPアドレスを介して匿名で作成したとします。
この場合SNS運営会社側は自動で同一のキャンバスフィンガープリントを探すシステムさえ作っておけば、理屈的にはこういった同一人物により複数アカウント運営を感知しうることになりますか?
コメントありがとうございます。
>この場合SNS運営会社側は自動で同一のキャンバスフィンガープリントを探すシステムさえ作っておけば、理屈的にはこういった同一人物により複数アカウント運営を感知しうることになりますか?
はい、フィンガープリントの精度にもよりますが、理屈としてはそのようになります。