VPNはハッキングの対象になるのか検証してみました

VPNとは

仮想プライベートネットワーク いわゆるVPNはインターネットの中に安全な仮想トンネルを他のネットワークや端末につなげることができる仕組みです。この仮想トンネルの中からインターネットにアクセスすれば、インターネットサービスプロバイダ（ISP）を含むあらゆる人にあなたのブラウジング履歴を見られにくくなります。

VPNはさらにあなたが世界中のどこにいるのか隠し、地域的な制限のかかったコンテンツにアクセスできるようにします。VPNを使うことによって公共のインターネットから情報を通信する時、情報を秘密にでき情報を変えられないということが保証されるのです。

このような接続を立ち上げるのは比較的簡単です。ユーザーはまず、ISPを介してインターネットに接続します。そしてローカルにインストールされたクライアントソフトウェアを使ってVPNサーバーとVPN接続を設立します。VPNサーバーは要求されたウェブサイトのデータを取得してユーザーのもとへ安全な方法で情報を配達する仕組みです。そのためインターネット上でもユーザーの情報の安全性を保ち、プライバシーを守れるという仕組みです。

VPN暗号化の仕組み

VPNプロトコルとは情報伝達と暗号化に関して合意されたルールのことを言います。ほとんどのVPNプロバイダはいくつかのVPNプロトコルから選択できるというオプションがあります。最も頻繁に使われているプロトコルには以下のようなものがあります：PPTP(ポイントツーポイント・トンネリング・プロトコル) 、L2TP（レイヤーツー・トンネリング・プロトコル）、IPSec(インターネット・プロトコル・セキュリティー) 、そしてオープンVPN（SSL・TLS）などです。

VPNがどのようにあなたのプライバシーを保護するのか十分に理解するために、暗号化の科学について説明しましょう。VPNは解読可能なあなたのデータ（プレーンテキスト）をインターネットを通信中に介入しようとする人に絶対に解読不可能なサイファーテキストに暗号化します。VPNプロトコル内でどのように暗号化、そしてその解読がされるかを左右するのはアルゴリズム（サイファー）です。VPNプロトコルはこのような暗号アルゴリズムを使ってあなたのデータを複雑にし、あなたのブラウジングの安全性を保ち、プライバシーを保護するのです。

VPNプロトコルはどの暗号アルゴリズムを使っているかによってそれぞれ異なる強みと弱みがあります。一部のVPNプロバイダはユーザー自身がどのサイファーを使うか選択できるようになっています。アルゴリズムやサイファーは対称暗号方式、非対称暗号方式、ハッシング暗号方式という3つのうち1つをもとにしています。

対象暗号方式は1つのキーを使ってロック（暗号化）して、同じキーでアンロック（解読）する仕組みです。非対称暗号方式は2つの異なるキーを使って暗号化と解読をする仕組みです。以下の表で対象、非対称暗号方式の主な相違点をまとめました。

非対称暗号方式は対象暗号方式の弱みに対抗するための手段です。ウィットフィールドディフィーとマーティンヘルマンはディフィーヘルマンという非対称暗号方式を初めて考案した人たちの一部で、対象暗号方式の弱みを補強することができたのです。

HTTPS、SSH、IPSec、オープンVPNなど多くのVPNプロトコルの基礎となるのは人気のある暗号アルゴリズムです。アルゴリズムがあることによって、初めての相手でもインターネットのような危険な公共の場で、どのような秘密のキーを使うか交渉できるのです。

ハッシングは通信データを破壊することなく保護できる取り消し不可能な暗号化の方法です。一度暗号化されたら元に戻せないのです。ほとんどのVPNプロトコルはハッシングアルゴリズムを使ってVPN経由で通信されたメッセージが本物であるか確認します。例としてMD5、SHA-1、SHA-2が挙げられます。MD5とSHA-1はすでに十分な安全性がないとみなされています。

VPNはハッキングできますが、困難です。VPNなしの方がはるかにハッキング被害にあいやすいでしょう

VPN内にハッキングすることは可能なのでしょうか

VPNは今でも最も効果的なネット上でのプライバシー保護の方法だとみなされています。しかし、あなたがハッキングする価値のある人だとみなされていて、ハッカーに十分な時間、資金、資源があった場合、何でもハッキングできる可能性があります。ラッキーなことに、ほとんどの人はハッキングする価値があるとみなされていないため、ターゲットになることはほとんどないでしょう。

VPN接続をハッキングするには、既知の脆弱性を使って暗号を解読するか、悪質な方法でキーを盗むという方法があります。暗号攻撃はキーなしで暗号版をプレーンテキストに回復するためにハッカーやクリプトアナリストによって使われています。しかし暗号化の解読は計算が大変で時間がかかるため、達成するには数年かかることもあります。

暗号を解読するよりキーの窃盗の方がはるかに簡単なため、その方法に力を入れるハッカーがほとんどです。このような困難に立ち向かうためにスパイ組織は活動しています。成功の秘訣は計算ではなく技術的な罠、高性能なコンピュータ、騙し、裁判所命令、裏での説得をうまく組み合わせる作戦です。暗号化のもとになっている数学は非常に強力で複雑な計算なのです。

既存のVPN脆弱性と搾取

アメリカのエドワード・スノウデンとセキュリティー学者による以前の指摘によると、アメリカ国家安全保障局（NSA）はVPNを含む多くのインターネット通信の暗号化の解読に成功したそうです。スノウデン報告書によると、安全保障局のVPN解読インフラは暗号化された通信に介入し一部のデータを強力なコンピュータに流し込み、それでキーを取得するという方法をとっているそうです。

セキュリティー学者のアレックス・ハルダーマン氏とナディア・ヘニンガー氏の研究によると、安全保障局は本当に暗号化の解読ができるようになって、ディフィー・ヘルマンアルゴリズムを導入したVPN通信へのログジャムという攻撃や多数のHTTPSやSSHを解読できるようになったと報告しました。

このような成功事例はディフィー・ヘルマンアルゴリズムを使うことによる脆弱性を搾取することで可能になっています。この脆弱性の根本には暗号化ソフトウェアが標準化された素数を導入に組み込んでいることです。研究者によると、1つの1024ビットディフィー・ヘルマンアルゴリズムを解読するには1年と数億ドルをかけて強力なコンピュータを開発する必要があると推定しています。これは国家安全保障局の予算内です。

残念ながら、1024ビット以下のいくつかの素数しかVPNなどの実際に暗号化する場面で使われていないため、解読がさらに簡単になってしまうのです。ブルース・シュナイダー氏いわく、「数学はいいですが、数学には中央機関がありません。コードには中央機関があり、その中央機関が制覇されてしまったのです。」

それでもVPNを使うべきでしょうか？

サービスプロバイダには2048ビットか、より多くのディフィー・ヘルマンキーを使うべきだと推奨しており、さらにTLSの展開のガイドを発行しています。インターネット技術調査委員会（IETF）はより長い素数を必要とする最新版のプロトコルの使用を推進しています。

スパイはディフィー・ヘルマンキーで頻繁に使われている最高1024ビット（約309桁）の解読ができるかもしれません。しかし2048ビットのキーは本当に困難でこのキーを使った情報を解読するには長い年月がかかるでしょう。

スパイ組織がVPNなど、その他の使用している暗号化プロトコルを搾取することで暗号化された通信をターゲットにしているというのは本当ですが、ユーザーにとっては暗号化しないよりはるかに安全です。あなたのコンピュータは妥協されるかもしれませんが時間とお金がかかるため、ハッカーにとって大変なのです。隠れていた方が安全です。エドワード・スノウデン氏はこう話します「暗号化はうまい仕組みです。クリプトシステムと同時に導入すれば本当に頼りになるでしょう。」

できる限りMD5かSHA-1ハッシングアルゴリズムをベースにしているVPNやPPTPかL2TP/IPsecプロトコルは避けるべきです。最新のOpenVPNとSHA-2に対応しているものを選びましょう。非常に安全だとみなされているからです。あなたのVPNがどのアルゴリズムを使用しているかわからない場合はVPNの文書を読むか、カスタマーサポートに問い合わせましょう。

VPNはあなたの味方です。暗号化や数学を信じてください。十分に利用して、あなたのエンドポイントも安全であることを確認してください。そうすることで暗号化された通信を解読されている今の時代を安全に生き延びることができるのです。