VPN Gate の不正利用防止の取り組みについて

VPN Gate 公開 VPN 中継サーバーを経由して通信を行うと、自分の発信元の IP アドレスを隠すことができます。これにより、検閲用ファイアウォールを回避することが可能です。

大半のユーザーは VPN Gate を正当な目的のために利用するものと期待されています。しかし、間違った目的のために悪用するユーザーもいるかも知れません。そこで、VPN Gate プロジェクトではいくつかの不正利用防止のための取り組みを行っています。

 

VPN 接続ログの保管・開示

私たちは VPN Gate 公開 VPN 中継サーバーへの VPN 接続ログを最低 3 ヶ月間保管します

匿名の利用者が VPN Gate 公開 VPN 中継サーバーのうちの 1 つに VPN 接続を確立した際と、VPN 接続を切断した際の 2 回において、そのアクセスログが記録されます。アクセスログは接続先の VPN Gate 公開 VPN 中継サーバーのログファイルに記録されるとともに、VPN Gate 実験運営者の管理するログ管理サーバーに syslog プロトコルと同等のプロトコル (SSL で暗号化) により集約されます。同様に、VPN Gate サイトの VPN サーバー一覧へのアクセスの際にも下記と同等のログが記録されます。

この接続ログには以下の事項が記録されています。

  • 記録日時
  • 接続先 VPN サーバーの ID、IP アドレス、ホスト名
  • アクションの種類 (接続または切断)
  • 接続元 VPN クライアントの生の IP アドレス、ホスト名
  • VPN プロトコルの種類 (SSL-VPN, L2TP, OpenVPN, SSTP のいずれか)
  • 接続元 VPN クライアントのソフトウェア名、バージョン番号および ID (利用可能な場合)
  • VPN 接続の確立中に通信したパケット数、バイト数、通信エラーが発生した場合のデバッグ情報
  • VPN Gate セッションを用いた通信先の HTTP/HTTPS ホスト名 (FQDN), IP アドレス、ホスト名およびポート番号

上記の事項以外は接続ログには記録されていません。

捜査機関および司法機関に対するログの開示

トラブルシューティング、不正利用 (たとえば連続して接続・切断を行うなどの DoS 攻撃) の防止、および不正利用が報告された場合において真に不正利用があったのかどうかの確認などの正当な目的を達成するため、接続ログが記録されています。

VPN Gate の発信元の IP アドレス を隠す機能を悪用して違法行為を行うユーザーの発生を防止し、万一そのような事案が発生した場合においては当該行為を行ったユーザーの接続元の IP アドレスを割り出す必要があります。VPN 通信ログを検証することにより、当該時刻に当該 VPN サーバーに接続を行った匿名の VPN ユーザーの物理的なグローバル IP アドレスを特定することができます。

接続ログは、警察・検察などの捜査機関や裁判所などの司法機関からの要請のために保存するものではなく、あくまでも、VPN Gate サービス運営者の側でのトラブルシューティングや不正利用ユーザーの以後の接続を禁止するなどの正当な業務のために保存されるものです。

ただし、VPN Gate 実験運営者は、警察・検察などの捜査機関や裁判所などの司法機関から正当な理由を添えてログを開示するよう求められた場合は、接続ログを請求者に対して開示します。この場合、必ずしも裁判所令状の提出は要求されません (総務省見解)。その他、正当防衛または緊急避難のためやむを得ない場合においてもログを第三者に開示する場合があります。具体的には、以下のような基準でログを開示します。

  1. 開示請求者が日本国の捜査機関または司法機関であり、担当者の在籍確認及び正当な権限を有することを確認できた場合: 直接開示
  2. 開示請求者が国外の捜査機関または司法機関である場合: 日本国の外務大臣に対して ICPO 経由等で正式に要請をしていただいた上で日本国の警察から要請があった場合に間接的に開示
    (正当防衛または緊急避難のためやむを得ない場合等については直接開示)

あなたが司法警察員や裁判所関係者であり、上記のログ開示制度を利用して接続ログの開示の請求を行いたいと考えられる場合は、事前に以下のメールアドレスまでご連絡ください。接続ログの開示請求の際には、開示対象物の特定のため、対象の時刻およびタイムゾーン、関係する VPN サーバーの IP アドレスおよびその他参考になる事項を添付してください。

User-Agent へのセッション ID の付与

VPN Gate のユーザーが VPN Gate 公開 VPN 中継サーバー経由で平文 HTTP 通信を行う際に、HTTP 要求ヘッダ内の User-Agent の文字列の末尾部分が VPN セッション ID の先頭数文字を示す文字列に置換されます。このセッション ID の一部の文字列は、不正行為が行われた場合に不正行為を行った者の VPN セッションを識別するために使用されます。

 

VPN パケット通信ログの保管・開示

各 VPN Gate 公開 VPN 中継サーバーはパケットログを保管します

VPN Gate 実験サービスにおいては、VPN 通信機能は VPN Gate 実験運営者が提供するのではなく、多数のボランティア (実験参加者) によって提供されます。各ボランティアのコンピュータ上で動作する VPN サーバープログラムにおいては、接続してきたすべての VPN ユーザーの通信パケットのヘッダをログに記録しています。VPN 通信パケットログを参照することにより、VPN 接続中のユーザーがどのような通信を行ったのかを後から調べることができます。パケットログには以下の情報が記録されます。

  • 時刻
  • 接続元の VPN ユーザーの (物理的な) IP アドレス、ポート番号
  • 接続先の Web サーバー等の TCP サーバーの IP アドレス、ポート番号
  • TCP のシーケンス番号、フラグ (SYN, ACK) など、トラブルシューティングのために必要な情報

記録されるログ形式について実際に閲覧されたい方は、VPN Gate サーバーを自分のコンピュータにインストールして実際に通信を行ってみてください。

各 VPN 中継サーバーのハードディスク上に記録されるパケットログは、少なくとも 2 週間の間、すべての TCP/IP ヘッダの情報を保存します。2 週間が経過したログファイルは、ハードディスクの容量を節約するため、圧縮されるか削除される場合があります。

パケットログの開示請求の方法

捜査機関や司法機関が、特定 VPN 中継サーバーのハードディスク上に記録されるパケットログの開示を請求したいと考える場合は、当該 VPN 中継サーバーの管理者に連絡してください。連絡先はサーバー一覧のページに記載されています。もし該当する VPN 中継サーバーがリストにないか、リストにあっても連絡先が登録されていない場合は、代わりに当該 VPN サーバーの IP アドレスを管理する ISP に連絡し、その ISP 経由でサーバー設置者に連絡を依頼してください。

VPN Gate サービスの運営者は、各 VPN 中継サーバーのパケットログを保管していません。またパケットログが各 VPN 中継サーバーから伝送されることもありません。特定の VPN 中継サーバーのパケットログの開示を VPN Gate サービスの運営者に対して請求しないでください。請求を受けても、ログを保有していないため、開示することはできません。

捜査機関および司法機関に対するログの解析協力

捜査機関や司法機関が各 VPN 中継サーバーのハードディスク上に記録されるパケットログファイルを適法に入手した結果、そのログファイルの解析が必要となった場合において、請求があれば、VPN Gate 実験運営者は合理的な範囲でログの解析に協力します。

あなたが司法警察員や裁判所関係者であり、パケットログの解析協力を依頼したいと考えられる場合は、以下のメールアドレスまでご連絡ください。

 

社内のネットワーク管理者が社員による VPN Gate サービスへのアクセスを禁止したい場合

あなたが社内のネットワーク管理者であり、社員があなたに無断で VPN Gate サービスへアクセスすることを禁止したい場合は、以下の方法で禁止することができます。

  1. https://www.vpngate.net/ という URL 宛のアクセスを、あなたの管理するファイアウォールでブロックしてください。
  2. ミラーサイト一覧にある各 URL へのアクセスを、あなたの管理するファイアウォールでブロックしてください。
    なお、ミラーサイト URL 一覧は変更される場合があります。
  3. 上記の対策を行った場合でも、社員が VPN Gate Client を何らかの方法で持ち込んだ場合は通信が可能です。
    これを防止するためには、社内のコンピュータにグループポリシー等を設定し、無許可のソフトウェアインストールを禁止してください。
    VPN Gate では OS 標準付属の VPN クライアント機能でも接続可能なため、OS の VPN クライアント機能の使用も禁止してください。
  4. たとえ上記の対策を行ったとしても、社員が私物の PC と 3G や LTE などの無線プロバイダの端末を社内に持ち込んで VPN Gate サービスを利用することができます。
    こういった利用方法を防止する方法はとても困難です。どうしても防止したいという場合は、電波防止用のフィルタ (電波暗室など) をオフィス等に設置してください。

 

ご意見募集

VPN Gate の利用者のプライバシーを保護し正当な利用を促進することと、VPN Gate の不正利用を防止することの両立は、私たちにとってとても難しい課題です。

この課題や対策方法について、ぜひ フォーラムにご意見をお寄せください。

 

お知らせ

お知らせ

警察庁で VPN Gate の悪用防止・犯人追跡手法に関する勉強会を開催

VPN Gate を悪用した違法な書き込みや不正アクセスは、検挙されます。