匿名VPNのノーログポリシーは信用できるか

匿名VPNにはかならず『ノーログポリシー』があります。ノーログポリシーとは特定の個人につながる情報を「保存しない」「第三者に提供しない」「第三者と共有しない」というものです

そのログポリシーは信頼できるものなのでしょうか。

ほぼ完全に匿名化 | VPNサービスとTorを併用する方法でご紹介したように、VPNサービス事業者が本当にノーログポリシーを守っているか?という点は利用者には分からないため、利用者はVPNサービス事業者を信頼する他ありません。

ですから、最低でも運営されている国がアメリカや欧州連合(EU)であるか否か、さらに「5 Eyes、9 Eyes、14 Eyes」に該当する国か否かを確認する必要があります。

またノーログポリシーが第三者によって検証されているのか確認する必要もあります。

ノーログポリシーとは何か?

そもそもノーログポリシーとは何でしょうか?

VPNサービスは大抵の場合ノーログポリシーで運用されていますが、実際の運用は各社異なります。というのも、何を持ってノーログポリシーというのか会社によって異なるためです。

まずはVPNサービスがどのようなログを取得できるのか解説します。

VPNサービスのログとは?

ログというのは大きく分けると次の3つあります。

  1. ユーザー情報のログ
  2. VPN接続のログ
  3. 利用状況のログ

ユーザー情報のログ

ユーザー情報のログというのはVPNサービスに申し込んだ際に入力した情報やユーザーに割り当てられた情報です。このログには次のような情報が含まれています(VPNサービスによって変わります)。

  • 氏名
  • メールアドレス
  • ログインID
  • ログインパスワード
  • 支払い方法
  • 支払い履歴
  • 契約期間

一般的なVPNサービスであれば、これらの情報はすべて記録されていますが、匿名VPNサービスではメールアドレスと支払い履歴、契約期間が記録されている事が多いです。

VPN接続のログ

VPN接続のログはVPN接続する際の発着信記録です。こののログには次のような情報が含まれています。

  • 発信IPアドレス(あなたの本当のIPアドレスです)
  • 着信IPアドレス(どのVPNサーバーに接続したか)
  • タイムスタンプ

これらの方法は利用者のプライバシーに関わるログのため、匿名VPNサービスはこのログを残さない事を期待されています。

利用状況のログ

利用状況のログは主にサポートで利用されるログです。このログには次のような情報が含まれています。

  • VPNソフトウェアのバージョン
  • アクセスしたWEBサイト
  • ダウンロードしたファイル名
  • 使用したプロトコル(BitTorrent、スカイプ、Zoomなど)
  • 通信データ量

匿名性を求める際に気をつけること

匿名性を求めるのであれば最低限VPN接続ログを収集・保存していないことの確認が必要です。

多くのVPNサービスではVPN接続する際の接続元IPアドレスやタイムスタンプ、アクセス先の情報を収集・保存していない旨のポリシーが記載されているはずです。

しかし実際にはノーログポリシーを破ってログを保存していたり、外部の第三者が管理するサーバーにログを転送したりするケースが多いです。捜査機関や諜報機関からの圧力に負けたVPNサービスはログを外部に転送するケースが多いので注意が必要です。

このようなケースは、この後で解説する5 Eyesの国で起こりがちです。そのため、VPNに匿名性を求める場合は運営している国に注意し、なおかつ第三者機関による監査を受けてノーログポリシーを証明していることが望ましいと言えます。

詳しくは次の章から解説します。

匿名VPNを選ぶ際にアメリカやEUを避ける理由

アメリカや欧州連合(EU)で運営されているVPNサービス事業者は利用者の個人データを収集する法的義務が課せられるため、VPNを契約した際の個人情報や支払い履歴、利用履歴を保管しています。

ですからアメリカや欧州連合(EU)で運営されているVPNサービス事業者は外部からの圧力で利用者の個人情報を提供してしまう可能性があります。

このような理由から、アメリカや欧州連合(EU)で運営されているVPNサービスのノーログポリシーは信用性が低いと考えた方が良いでしょう。

5 Eyes、9 Eyes、14 Eyesとは?

まずは5 Eyes、9 Eyes、14 Eyesとは何か、というところから知る必要があります。

1946年、イギリスとアメリカは「通信の傍受・スパイ活動の情報共有」を目的とした多国間情報共有同盟であるUKUSA協定を結びました。

その後、UKUSA協定をベースにオーストラリア、カナダ、ニュージーランドが加盟し、計5カ国で協定を結びました。これが5 Eyesです。

そしてデンマーク、フランス、ネザーランド(オランダ)、ノルウェイが加盟して9 Eyesとなり、さらにドイツ、ベルギー、イタリア、スペイン、スウェーデンが加盟して14 Eyesとなりました。

5 Eyesアメリカ、イギリス、オーストラリア、カナダ、ニュージーランド
9 Eyesデンマーク、フランス、ネザーランド(オランダ)、ノルウェイ
14 Eyesドイツ、ベルギー、イタリア、スペイン、スウェーデン
「5 Eyes」「9 Eyes」「14 Eyes」に加盟する国家

この中でも特に注意が必要なのは、企業に対してデータの記録と引き渡しを強制できる強力な権限を有している5 Eyesです。

9 Eyesや14 Eyesの国にはプライバシーの懸念がありますが、プラバシーを順守している企業もあります。しかし5 Eyesに属する国で運営されているVPNサービスは基本的に利用してはなりません

そのほかの多国間情報共有同盟

日本、韓国、イスラエル、シンガポールはNSA(国家安全保障局)と深い関わりがあります。

また、5 Eyesとフランス、インド、シンガポール、韓国、タイは2005年から情報共有のための協定を結んでいます。

中国、インド、カザフスタン、キルギスタン、パキスタン、ロシア、タジキスタン、ウズベキスタン間では上海協力機構という名の情報共有同盟を結んでいます。

ノーログポリシーが第三者機関によって検証されているVPN

VPNサービスの多くが「ノーログポリシー」を掲げていますが、わたしたちが期待するような本当の意味でのノーログポリシーを守っているVPNは少ないというのが現実です。その証拠に、匿名VPNだと信じて利用していたら身元を特定されたという話は珍しくありません。

そのため、第三者機関によってノーログポリシーが検証されているVPNでないとノーログポリシーを信用することはできないと言えるでしょう。

そこで、第三者機関によってノーログポリシーが検証された3つのVPNサービスをご紹介したいと思います。

NordVPN:PwCによりノーログポリシーを証明

» NordVPNの30日間無料体験はこちら

もっとも人気が高く利用者の多いNordVPNは2018年と2020年に監査法人による検証を受けています。

NordVPNを検証した監査法人はPricewaterhouseCoopers(通称:PwC)というロンドンを本拠地にもち世界157カ国742拠点で運営されている世界最大級のプロフェッショナルサービスファームです。PwCは世界4大会計事務所・コンサルティングファームのひとつであり信頼性は抜群です。

PwCのレポートはNordVPNを利用している方であればダッシュボードから誰でも閲覧できます。

PwCによる2020年の監査レポート
(NordVPN利用者のみ閲覧可能)

PwCの具体的な検証対象は次のとおりです。

  • 従業員へのインタビュー
  • サーバー構成
  • 各種ログ
  • 難読化サーバー
  • Double VPNサーバー
  • P2Pサーバー

これらの項目において検証を受け、NordVPNがノーログポリシーで運営されていることを実証しています

TRY NOW
  • 業界人気ナンバーワン
  • 高速回線と軍事レベルの暗号化技術
  • P2Pに最適化されたサーバーでTorrentも快適
  • 監査法人(PricewaterhouseCoopers)によりノーログポリシーが証明済み ※2018年、2020年に監査
  • 高い匿名性と使いやすさに定評あり

30日間無料 公式サイトに行く

リンク先:https://nordvpn.com

まずは無料お試し!30日間無料でお試しください

ExpressVPN:PwCによりノーログポリシーを証明

» ExpressVPNの30日間無料体験はこちら

ExpressVPNはNordVPNと同じくPricewaterhouseCoopers(通称:PwC)による監査を受け、レポートをExpressVPN利用者に公開しています。

ExpressVPN利用者であればPwCのレポートを閲覧できる

ExpressVPNもNordVPNと同様にログやサーバー構成について検証されており、ノーログポリシーが実証されています。

TRY NOW
  • 超高速、史上最速のVPN
  • 軍事レベルの暗号化技術とセキュリティー
  • 実証されているノーログポリシー
  • 高い匿名性と使いやすさに定評あり

30日間返金保証 公式サイトに行く

リンク先:https://expressvpn.com

まずは無料お試し!30日間無料でお試しください

Private Internet Access(PIA):Deloitteによりノーログポリシーを証明

» PIAの30日間無料体験はこちら

PIAは2022年8月、Deloitteの監査を受けノーログポリシーを実証しています。DeloitteはPwCと同じく世界4大会計事務所・コンサルティングファームのひとつであり信頼性は抜群です。

PIA利用者であればDeloitteのレポートを閲覧できる

DeloitteのレポートではPIAがノーログポリシーで運用されておりユーザーの追跡するような構成ではないことを報告しています。

レポート全文はPIA利用者であればどなたでも閲覧できます。

TRY NOW
  • 抜群に使いやすいアプリケーション
  • 高い匿名性と高速通信が魅力
  • 法廷で証明されたノーログポリシー

30日間返金保証 公式サイトに行く

リンク先:https://jpn.privateinternetaccess.com/

まずは無料お試し!30日間無料お試しください

犯罪捜査の一環でノーログポリシーが実証された例

匿名VPNはその匿名性の高さから犯罪にも利用されています。実際のところ匿名VPNを利用するとIPアドレスから身元を辿るのは極めて困難になります。

VPNサービスはサーバーを押収されたり法廷に召喚されたりすることが多々あり、その際に規約に反して利用者情報を保存していたとか、裏でFBIと通じていたとか、そういったノーログポリシーを守っていなかった事実が次々と露呈することがあります。

しかし、その一方で本当にログを保存していなかった、ということを証明することもあります。

法廷でノーログポリシーを証明したPIA(Private Internet Access)

2017年4月、サンフランシスコ在住の男性が不正アクセスの疑いでFBIに逮捕されました。

裁判所に提出された証拠のひとつに被害を受けたサイトのアクセスログがあり、そのアクセスログにPIAのIPアドレスが含まれていたためPIAに対して利用者情報の開示命令が出されました。

それに対してPIAの顧問弁護士は以下のように説明しています。

  • VPNを申し込む際に入力する顧客の名前や住所は保持していない
  • PIAが保持している唯一の情報は顧客がサインアップした際の電子メールアドレスのみである

そこで捜査機関はPIAにサインアップした際のメールアドレスから所用者を割り出そうとしましたが失敗に終わりました。

結局、FBIに逮捕された男性はPIAの他にもVPNを使っていて、そのVPNがあっさりと利用者情報を提供したため彼は実刑になりました。

この件で注目すべきはVPNサービスに登録するメールアドレスにも気をつかう必要があるという点です。

サインアップ時に登録するメールアドレスさえ気を付ければ、PIAはとても匿名性が高いVPNサービスプロバイダーであると言えるでしょう。

PIAはvpncafeのスタッフにもっとも人気のあるおすすめVPNのひとつです。レビュー記事を用意していますので、興味のある方はご覧ください。

PIAには30日間の返金保証制度がありますから、気軽に試すことができます。

サーバーを押収されてノーログポリシーを証明したExpresVPN

2016年、トルコ大使在任中であったロシア人のアンドレイ・カルロフ氏が暗殺されました。

暗殺者としてメブリュト・メルト・アルトゥンタシュが逮捕されましたが、犯人のGmailとFacebookのアカウントが犯行の2時間半後にExpressVPNを通じて削除されていたことから第三者が関与している疑いがあるとしてトルコの捜査機関はExpressVPNに通信履歴の提出を求めました。

これに対してExpressVPNは次のような回答をしました。

  • イギリス領バージン諸島で運営されているため同国の裁判所命令がなければ要請に応じる必要はない
  • 接続ログやアクティビティログは保存していないので要請には応えられない

ExpressVPNから通信履歴の提供を拒否されたトルコの捜査機関はトルコ国内のVPNサーバーを押収しましたが、サーバーには利用者情報や通信履歴などは一切残っていませんでした。

この事件の後、ExpressVPNはトルコでの物理サーバー設置を停止し、仮想ロケーションに変更しています。

この件で注目すべきは、どの国で運営されていても物理サーバーの押収は避けられない点です。

ノーログポリシーの誤解

ノーログポリシーとは「情報を一切保存しない」ものだと考えている方がいらっしゃいますが、それは違います。たとえばIPアドレスは利用者に繋がるので保存しませんが、接続したVPNサーバーやVPNソフトウェアのバージョンは一時的に保存することがあります。

これはユーザーサポートのためであり、同時利用できる端末数を制限するためでもあります。

ですから「どうのような情報」「いつまで保存されるのか」という点に注意しなくてはいけません。

ExpressVPNの『ノーログポリシー』の誤解

ExpressVPNのノーログポリシーについて誤解している記事をネットでよく目にするので解説したいと思います。

ExpresVPNは次のようなログを収集しています。

ExpressVPNが収集するログ
  • 有効化されたアプリとアプリのバージョン
  • VPNに接続した日付(時刻は含まない)
  • 使用したVPNサーバーのロケーション
  • 1日あたりに転送されたデータの合計(MB)

これらの情報はサポートのための情報であり個人を特定できるものではありません。また、VPN接続を切ると情報は削除されます。

そして、個人情報を特定できるような以下のログは収集していません

ExpressVPNが収集しないログ
  • 発信IPアドレス
  • トラフィックの行き先またはメタデータ
  • DNSクエリ
  • 閲覧したウェブサイト

収集するログと収集しないログが明確になっており、たとえ一時的にログが保存されたとしても利用者につながることはありません。

まとめ

それでは情報を整理しましょう。

5 Eyes、9 Eyes、14 Eyesに属する国でノーログポリシーが実証されていないVPNサービスは匿名化目的での利用を避けましょう。特に5 Eyesは絶対に避けなければなりません。

そしてPIAの例で分かるように接続ログやアクティビティログを記録していなくてもサインアップした際のメールアドレスが記録されている可能があります。

そのため普段利用しているISPやGmailなどのメールアドレスではなくて匿名メールでVPNサービスの利用を始めた方が安全でしょう。

NordVPNは高速通信と軍事レベルの暗号化技術、匿名性の高さで人気ナンバーワン。VPNアプリケーションも使いやすく、海外での動画視聴やTorrentのファイル共有も高速で快適です。同時接続6台まで可能。

» 公式サイトへ » レビューを見る

SurfShark VPNは2018年に誕生した新進気鋭のVPNサービス。低価格ながら高速通信と軍事レベルの暗号化技術、匿名性の高いMuliHop機能を搭載するなどコストパフォーマンスに優れた人気急上昇中のVPNサービスです。同時接続台数は無制限。

» 公式サイトへ » レビューを見る
アズポケット株式会社が運営するMillenVPNは高速通信と手厚い日本語サポートで人気の高いVPNサービスです。VPNアプリケーションも使いやすく、設定項目は豊富で、海外からの動画視聴やBitTorrentでのファイル交換も快適です。同時接続10台まで可能。
» 公式サイトを見る » レビューを見る

PIAは高速通信と使いやすいVPNアプリケーションで人気の匿名VPN。Torrentでのファイル共有も快適です。実証されたノーログポリシーにより、最高の匿名VPNのひとつとなっています。同時接続10台まで可能。

» 公式サイトへ » レビューを見る

ExpressVPNは高速通信とセキュリティの高いVPNサービスを提供します。海外での動画視聴やTorrentのファイル共有も高速で快適です。軍事レベルの暗号化技術とセキュリティで匿名性も抜群。同時接続5台まで可能。

» 公式サイトへ » レビューを見る

AirVPNは『VPN over Tor』に対応した匿名性の高いVPN。VPN偽装機能も搭載しておりVPN検知を突破します。もちろんTorrent対応。他のVPNサービスとは一線を画した上級者向けの匿名VPNサービスです。同時接続3台まで可能。MoneroとDashでの支払いに対応しています。

» 公式サイトへ » レビューを見る
老舗プロバイダーのインターリンクが提供するVPNサービスです。最大で2ヶ月間無料、いつでも違約金なしで解約できて月額費用も1000円(税抜)とお手頃価格を実現しています。同時接続3台まで可能。
» 公式サイトを見る » レビューを見る

6 COMMENTS

マッチョマン

初めまして。
とても興味深い内容でした!
一つ質問があります。

”PIAが保持している唯一の情報は顧客がサインアップした際の電子メールアドレスのみである”
”ProtonMailはスイス当局からの要請により利用者情報(IPアドレス)を提供することが知られています”

とありますが、完全匿名でTwitterアカウントを作成したい場合、
•VPN契約→匿名メール作成
•匿名メール作成→VPN契約
どちらの順でTwitterアカウントを作成すれば匿名になりますか?

返信する
匿名

こんにちは 全記事を一通り読ませていただきました こんな貴重な情報を無料で提供されていることに感謝しております

質問ですが例えば、NordVPNなどの実績のあるVPN業者を完全に信用するのであれば、Torまでは行わなくても、Double VPNなど提供されたサービスをそのまま使えば良いという認識で合ってますでしょうか? 

痕跡がVPN業者に残る以上、匿名メールやTorなども併用してできるだけの努力をして匿名性を担保すればよくて、心配ならやりましょうというお話でしょうか?

返信する
マスター

コメントありがとうございます。

>NordVPNなどの実績のあるVPN業者を完全に信用するのであれば、Torまでは行わなくても、Double VPNなど提供されたサービスをそのまま使えば良いという認識で合ってますでしょうか? 
>痕跡がVPN業者に残る以上、匿名メールやTorなども併用してできるだけの努力をして匿名性を担保すればよくて、心配ならやりましょうというお話でしょうか?

簡潔に回答すると、VPN業者を完全に信用するのであればDouble VPNなどで十分、ただしアカウント作成時は匿名メールの使用をおすすめします、となります。

VPN業者を信頼できるかという点については、それまでの実績や外部機関の監査の結果を信じるか否かに尽きます。
NordVPNでいえば「実はノーログポリシーではありませんでした」という話になればPwCの信用は失墜するため、そのようなリスクを冒してPwCは嘘の監査報告をする可能性はあるのかという話になります。

ただし世の中に絶対という事はないため、最低でもVPNサービスでアカウントを作成する際は普段使っているISPのメールアドレスやGmailなどは使わず、VPNアカウント専用に匿名メールアドレスを用意した方が良いと思います。なぜならば、VPN業者が利用者のIPアドレスを開示しなくてもアカウントに紐付いているメールアドレスは開示する可能性があるためです。

また、WEB通信であればVPNとTorの併用をおすすめします。これは「心配ならばやりましょう」という事ではなくて「匿名性を求めるならばやりましょう」という話になります。

返信する
匿名

とても分かりやすい回答ありがとうございます。 理解を深めることができました。

返信する
名無し

WindowsではデバイスIDという各PCに固有の情報がありますが、ユーザーPCに入れるVPNクライアントを通してそれが送信、確保保存されているということはないのでしょうか。そうだとしたらIP変えても、ログを保存していなくても全て無駄な努力ということになりますが。実際AVASTの件ではデバイスIDをもとにユーザーを追跡していましたが。
この文書は届いているのでしょうか。

返信する
マスター

コメントありがとうございます。

>WindowsではデバイスIDという各PCに固有の情報がありますが、ユーザーPCに入れるVPNクライアントを通してそれが送信、確保保存されているということはないのでしょうか。

残念ながら、これを利用者が知る由はありません。
avastの件に限らず、昔からユーザーの追跡はあらゆる方法で多くの企業によっておこなわれています。

ですので、VPNアプリケーションだけでなく、あらゆるアプリケーションを疑った方が良いでしょう。OSも同じです。

何度か書いているのですが、本当に匿名化したいのであれば普段利用しているパソコンで匿名化をすることはおすすめしません。
匿名化専用の仮想マシン(VMwareなど)を用意してクリーンな状態のスナップショットを保存しておき、匿名化通信が終わったらスナップショットで巻き戻す。最低でもそれくらいの対策は必要です。
また、OSについてもLinuxを利用するなど、対策を検討されてはいかがでしょうか。

返信する

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。
また、スパム対策のため投稿して頂いたコメントが表示されるまで時間がかかる場合がありますが、ご了承ください。