↑ 画像をクリックすると拡大
図1、公衆無線LANのセキュリティ上の問題
| 2016年08月28日 | 更新。 |
VPN(Virtual Private Network)とは、インターネットなどの共用回線上で暗号化した情報のやり取りを行う事により、仮想的(virtual)に専用回線(private network)の様な安全な回線を引く技術の事です。あるいは、その様にして引いた仮想的な回線の事も指します。データの盗聴や改ざん、第三者が通信相手に成りすます事を防ぐために用いられます。
スマホなどの携帯機器でインターネットにアクセスする機会が増えてきました。有料の物にせよ、無料の物にせよ、公衆無線LANが使える場所(WiFiスポット)では、無線LANによる安定かつ高速なインタネットアクセスができ、便利です。また、海外旅行に行って、普段使っているSIMカードが使えない場合でも、公衆無線LANに接続すると、インターネットにアクセスできます。
しかしながら、WiFiスポットには、通信が暗号化されていなかったり、脆弱な暗号を採用している物もあります。そのような場合は、無線LANの電波を傍受した第三者が、通信内容を盗聴する可能性があります。(図1参照)
さらには、WiFiスポットの中には、悪意のある人が設置した物もあります。この場合、スマホなどの携帯機器とアクセスポイントの間で強度のある暗号通信をしていても、WiFiスポットを設置した人には、自由に通信内容を盗聴されてしまいます。
2016年にリオで開催されたのオリンピックの会場周辺には、この様な危険なWiFiスポットが多数あり、観戦に来た客の通信内容が筒抜けになっていると報道されていました。(世界で最も危険なWiFiスポットはリオ五輪 「ハッカーの祭典」状態にを参照)
固定回線を使う場合でも、アクセスするWebページのサーバーまでのルートに、悪意のある人が設置したゲートウェイ(異なる種類の回線を中継する中継器)がある場合は、やはり通信内容を盗聴されてしまいます。(図2参照)
インターネット経由でサーバーにアクセスする場合、図2の様に、目的のサーバーに達するまでに、通常いくつかのゲートウェイで情報が中継されます。
インターネットは「他人の回線やゲートウェイに自分の情報を中継してもらう代わりに、自分の回線やゲートウェイで他の人の情報を中継してあげる」という相互扶助の精神で全世界的に運営されています。ただ残念ながら、盗聴・データ改ざん・なりすましなどのために、悪意を持ってゲートウェイを設置している人がいる可能性が排除できません。
民主化されていない一部の国では、インタネットの回線やゲートウェイなどを、半ば公然と監視下に置いている所もあります。以下、この様な監視をしている国のひとつを、仮にC国と呼ぶ事にします。
C国では、国内のインターネットでやり取りされている内容を監視しており、政府に批判的な意見の人を監視しています。また、政府批判がSNSに書き込まれても迅速に対処できるよう、Twitterなど、国外のSNSサービスへの通信は遮断し、C国内で運営されているSNSしか利用できないようにしています。(図3参照)
これらのセキュリティ上の問題を解決するのに考え出されたのが、VPN(Virtual Private Network)です。virtualは仮想的なという意味で、private networkは専用回線という意味です。
そもそも、第三者に情報を盗み見されたくない場合、自力で敷設した専用回線を使うのが確実です。そうすれば、インターネットの様に、素性のはっきりしない第三者が情報を中継する事がなくなります。(図4参照)
しかしながら、長距離の専用回線を敷設したり維持したりするには莫大なコストがかかります。そのため、現実問題として、図4の様な専用回線を使えるのは、銀行のオンラインシステムなど、特にコストをかけても情報の安全性を確保すべき情報システムに限られます。
そこで、情報を暗号化する事により、インターネットを使いながらも情報の秘密性を確保し、あたかも専用回線を使っているかの様に安全性を確保した物がVPNです。(図5参照)
VPNルーターは、通常のルーターの様にLAN内の情報を集約してWAN回線に送ったり、WAN回線から来た情報をLAN上の機器に分配したりするだけでなく、情報の暗号化や復号化の機能を持っています。この暗号化と復号化の働きより、WAN回線上の情報は暗号化されています。そのため、WAN回線として、インターネットなどの秘密性の低い回線を使っても、情報が漏えいしたり改ざんされたりなどといったトラブルを防ぐ事ができます。
図5では、VPNルーターという専用の機器を使ってVPNを実現していますが、暗号化や復号化はパソコンやサーバー上のソフトウェアによっても行えるため、図6の様に、暗号化や復号化のソフトウェアをインストールしたパソコンやサーバーを使ってでも実現できます。パソコンやサーバーにかかる負荷が問題にならない場合、コストダウンや機器構成の柔軟化などのために、この様なソフトウェアによるVPNが使われる事があります。
パソコン用の無償のVPNソフトとしては、SoftEther VPNが有名です。また最近では、AndroidやiOSなどの携帯機器用のOSを含めて、OSにVPNの機能が標準搭載される様になってきました。
VPN用の暗号化・復号化機能を持った中継サーバーの事をVPN中継サーバーと呼びます。VPNを一般のインターネット回線に中継します。(図7参照)
図5や図6に示したVPNでは、VPN機能を持っている特定のサーバーとしか通信できませんが、図7の様にVPN中継サーバーを経由したインターネットアクセスでは、広く一般のサーバーにアクセスする事ができます。その反面、VPN中継サーバーを通過して以降のゲートウェイ(図7で国外のゲートウェイと記した物)では、盗聴される可能性があります。
C国の様に国内のインターネット上の情報を監視している国から、国外のWebページを閲覧している場合を考えます。図7に示す様に、VPN中継サーバーがC国外にあれば、C国内の回線の情報は全て暗号化されているため、どの様なWebページを閲覧しているかをC国の当局に把握されてしまう心配はありません。
さらに、パソコンが送信するパケットの見かけ上の宛先は、VPN中継サーバーとなっています。本当の宛先(閲覧しているWebページのサーバー)は暗号化されており、C国当局は把握する事ができません。そのため、C国が利用を禁止している海外のSNSにアクセスしていたとしても、C国当局は、その通信を遮断できません。
VPN中継サーバーは、VPNから届く暗号化された情報を復号化し、一般のインターネット回線に中継すると共に、パケットの宛先を本当に閲覧したいサーバーに書き換え、またパケットの送り主はVPN中継サーバーに書き換えます。(送り主をVPN中継サーバーに書き換えておかないと、Webページのサーバーからの応答がVPN中継サーバーに返ってきません。) そのため、閲覧されているWebページのサーバーから見れば、あたかもVPN中継サーバーから閲覧されているように見えます。
この様に、VPN中継サーバーを利用すると、通信の内容を隠すだけでなく、アクセス先やアクセス元の偽装を行えます。
VPN中継サーバーを経由したインターネットアクセスの、これらの性質は、通信の監視や遮断が行われていない日本においても、大いに役立ちます。
例えば図7では、パソコンとそれにつながるルーターの間が、固定のLAN回線で接続されていますが、これが無線LANに変わると、第三者に傍受される可能性が出てきます。その場合でも、無線LANでやり取りされる情報はVPNによる暗号化が行われているため、情報の漏えいが防げます。
また、閲覧したいWebページのサーバーが、日本からのアクセスを拒否する場合も考えられます。例えば、アメリカのビデオ配信会社がアメリカ国内限定で行っている、オンデマンドのビデオ配信サービスなどがその例です。この場合でも、VPN中継サーバーがアメリカにあれば、閲覧されているWebページのサーバーから見れば、あたかもアメリカ国内からアクセスされている様に見えるので、アクセスを拒否する事ができません。
パソコンやスマホ向けに販売されているVPNのパッケージソフトでは、たいていが、VPNソフトウェアとVPN中継サーバーへのアクセス権のセット販売となっています。(前述したように、単なるVPNソフトウェアなら、OSにその機能が標準搭載されているので、商品価値がありません)
参考:VPN中継サーバーを使うと、単に通信の秘匿化やアクセス元やアクセス先の偽装だけでなく、例えば、自分の運用するサーバーが海外のハッカーの攻撃にどの程度耐えるかの評価など、色々な目的に使えます。また、海外のVPN中継サーバーを使って、普段アクセスし慣れている国内のWebページを閲覧すると、普段は日本語の広告が表示されているスペースに英語の広告が表示されたりと、面白い現象を経験する事があります。
VPN中継サーバーの運用にはコストがかかるため、通常は、有料のサービスであったり、あるいはそのVPN中継サーバーに接続するための専用ソフトに広告表示の機能があったりします。しかしながら、一部ではVPN Gate学術実験サービス(以後、VPN Gateと表記)の様に、完全に無料で利用できるVPN中継サーバーもあります。
VPN Gateは、筑波大学が行っている、各国にあるボランティアのVPN中継サーバー群をリスト化して提供するサービスです。学術実験目的のサービスという事や、インターネットの検閲のある国の人々を開放するという理念を掲げて運用されている事から、多くのボランティアのVPN中継サーバーが参加しています。
アクセス元やアクセス先の偽装を行って、本来は利用できない海外のサービスを単に利用したい場合などには便利なサービスなのですが、本当に重要な情報をやり取りする場合は、VPN Gateの利用は慎重になる方がいいかもしれません。というのも、ボランティアで一般の人々がサーバーを提供しているという性質上、VPN中継サーバー自体が悪意を持って設置されている可能性を排除できないからです。
本当に重要な情報をやり取りする場合は、例えばHotspot Shieldなどの様な、有料もしくは広告付きのサービスを利用する方が無難でしょう。有料であったり広告付きであったりするサービスでも、知名度の低いサービスは避ける方が無難です。
実力のある人は、自宅のパソコンをVPN中継サーバーに仕立てる方法もあります。しかし、パソコンを24時間稼働すると意外と電気代がかかりますし、業務用途に設計されていないパソコンでは、24時間連続稼働させると、意外と簡単に故障してしまいます。(中国IT情報局のVPNサーバを自前で構築するのは損?得?を参照) コスト面では安価な有償サービスを利用する方が有利ですので、サーバーの運用スキルを身に付けたいなどの理由がない限りは、有償のサービスを利用する方がいいでしょう。
