Intomas

Surfshark VPN は、セキュリティ テストに合格しなかった 6 つの人気仮想プライベート ネットワーク サービスの 1 つであり、他の多くのサービスもいわゆる「デセプター」テストに不合格となっています…

TechRadarが報じている。

Surfshark、TurboVPN、VyprVPN など、有名な VPN プロバイダー数社は、ユーザーのセキュリティを潜在的に損なう危険な行為で非難されている 6 つのブランドに含まれています。

セキュリティ調査会社AppEsteemは、Deceptorプログラムの一環として、プロバイダーのアプリがユーザーのデバイスに信頼できるルート証明機関（CA）の証明書をインストールし、一部のプロバイダーはそうすることについてユーザーの同意を得ていないことを発見しました[…]

TechRadar Proのセキュリティ専門家、マイク・ウィリアムズ氏は、「信頼できるルート証明書をインストールするのは良い習慣ではありません。もしそれが侵害された場合、攻撃者がさらに証明書を偽造し、他のドメインになりすまし、通信を傍受する可能性があるからです」と述べています。

これは、プライバシーを保護するためにインターネット サービス プロバイダーなどのサードパーティ企業を信頼しなくてもよいように特別に設計された製品における、かなり重大な欠陥です。

VPN プロバイダーによって追加のルート CA 証明書がインストールされている場合、信頼されたルート証明書は実際に使用しているサービス(Mozilla Firefox、WhatsApp など) の暗号化と信頼性のチェックを上書きできるため、プロバイダーの暗号化と信頼性のチェックのみに依存することになります。

これにより、最悪の場合、VPN プロバイダーが基本的にすべてのトラフィックを傍受して監視できるようになります。

SharkVPN は、証明書の必要性をなくす取り組みを進めていると述べています。

AppEsteemは、「顧客に危害を及ぼす可能性のある欺瞞的で危険な行為」を行うアプリを特定することに取り組んでいます。このテストに合格しないVPNサービスは数多くあります。

9to5Macの見解

VPN の重要な点は、ISP や Wi-Fi ホットスポット プロバイダーなどのサードパーティ企業が怪しい行為を行わないと信頼できない場合でも、プライバシーとセキュリティが保護されることです。

問題は、VPNサービス自体を信頼してしまうことです。無料VPNサービスは特に疑わしいもので、独自の目的でデータを取得しようとしている可能性があります。しかし、有料サービスを選ぶ際にも注意が必要です。重要なのは、ログが残らないことと、企業のセキュリティに関する主張が独立した監査を受けていることです。個人的には、これらの基準を満たす数少ないVPNサービスの一つであるNordVPNを使用しています。

intomas.com を Google ニュース フィードに追加します。