悪意のあるTor出口ノードから自分を守る方法
Torはインターネットプライバシーの世界で標準であり、当然のことです。しかし、Torを使用して通常のウェブをブラウジングする場合、Torの出口ノード(あなたのオリジナルデータをTorネットワークから出すノード)があなたが誰であるかを知らないとしても、必然的にネットワークを通じて送信したオリジナルデータにアクセスできることに注意してください。
悪意のある出口ノードは、サイバー犯罪者や政府によって運営されており、プライバシーを求める理由で価値のあるデータを拾おうとしています。悪意のあるTor出口ノードから自分を守る方法を学びましょう。
関連記事: Raspberry PiでTorプロキシを設定する方法
Torの内部で何が起こっているのか?
Torネットワークへの非オニオン(つまり、通常のインターネット)サイトへの接続は次のようになります:
- あなたのコンピュータはTorネットワークへの暗号化された接続を確立し、充分な帯域幅と稼働時間の履歴を持つエントリーガードを見つけます。ブラウザはTorネットワークを通るランダムな経路を計算し(これは10分ごとに変わります)、データを複数の暗号化層で包みます。
- データは経路に沿ってノード間を移動します。各ノードは前のノードと後のノードの情報だけを知っており、元のアドレスは1回のバウンスで隠蔽されます。全てのTorノードは一つの層を復号化できるため、その次にデータを送る場所に関する情報を得ることができます。これがTorに関連する「オニオン」用語の由来です。
- 最後のノードに到達すると、最後の暗号化層が剥がれ、データは元々目指していたTorネットワーク外のサーバーに送信されます。
最終ノードはTorネットワーク内で最も弱いリンクです。Torの暗号化は解除され、暗号化されていないデータはノードによって読み取られる可能性があります。ただし、トラフィックがTorネットワークに入る前に暗号化されていた場合、その暗号化は外部の目的地サーバーに到達するまで保持され、プライバシーとセキュリティを維持するための重要な要素となります。
悪意のある出口ノードは誰が運営しているのか?
出口ノード攻撃者の二つの主要なカテゴリーはサイバー犯罪者と政府です。サイバー犯罪者は使用できるようなパスワードやその他の個人データを求め、一方政府は犯罪活動を監視したり、市民を監視したり、他国を調査することを望んでいます。
悪意のある出口ノードは複数の独立した実験で発見または証明されています:
- 2007年:セキュリティ研究者のダン・エガースタッドが5つのTor出口ノードを運営し、機密の外交通信を含む敏感なデータを傍受。彼はその後逮捕されたが、起訴はされなかった。
- 2014年:研究者が「多数の」悪意のある出口ノードを発見。
- 2015年:独立した研究者のクロエが異なるノード用の偽ログインを設定し、非暗号化のTor接続を通じて使用。彼女のハニーポットサイトは多くの訪問を受け、約30回のログイン試行があった。
- 2016年:ノースイースタン大学の研究者が100以上の不適切に振る舞うリレーを特定。
- 2017年:Jigsaw Securityが米国政府機関とロシアのクレムリンに属する地域に地理的に位置するノードを特定。
悪意のある出口ノードから安全を保つ方法
1. HTTPSでのみブラウジング
出口ノードからデータを守るための最良の方法は、昔ながらのHTTPSです。決意した出口ノードの攻撃者は理論的にはこれを回避できるかもしれませんが、HTTPSを通じてのトラフィックはコンピュータから目的のサーバーまでの全行程で暗号化されるため、デフォルトではあなたのトラフィックはどのTorノードにもクリアテキストで表示されることはありません。出口ノードでさえも、サイトに暗号化された情報を送っています。
Torは自動的に可能な接続をすべてHTTPSにアップグレードしますが、もし非暗号化接続(例えばHTTPサイト)に接続している場合、出口ノードにはあなたのトラフィックが表示されることに注意してください。幸いなことに、ほとんどの現代のサイトはデフォルトでHTTPSを使用していますが、気をつけて、HTTP接続を通じて個人情報をログインしたり、送信したりしないようにしてください。
2. 敏感な情報を最小限に抑える
最大限のプライバシーを確保するためには、誰かが監視していると想定し、そのために全て暗号化するのが最良です(接続がHTTPSを使用している場合でも)。誰かに敏感なデータを伝える必要がある場合、PGPのようなもので最初に暗号化してください。実際の自分に関連する個人情報を提供したり、アカウントにログインしないようにしてください。
実際には、HTTPS接続にいる場合は、比較的通常にブラウジングしても大丈夫ですが、警戒を怠らないようにしてください。
3. .onionサイトのみを利用する
.onionサイトはTorネットワーク上にホストされており、出口ノードを通る必要がないため、悪意のあるノードがあなたの復号化されたトラフィックを見る機会はありません。オニオンバージョンの主要なサイトは少なくて貴重ですが、少なくともニューヨークタイムズを読んだり、Facebookをブラウズすることはできます(あなたにとってそれが良いアイデアである場合)。
VPN + Torはどうか?
Torはプライバシーに優れており、VPNもプライバシーに優れているので、VPN + Tor = 二重のプライバシーということになりますよね?それは少し複雑です。組み合わせて使用するのはあることに良い場合もありますが、特に速度に関してトレードオフがあります。
1. VPN上のTor(TorエントリーガードへのVPN接続)
まずVPNに接続してからTorブラウザを使用します。これにより一定の安全が確保されます。エントリーノードがあなたのIPアドレスを見ることを防ぎ、ISPがあなたがTorを使用していることを知られなくなります。しかし、これはVPNプロバイダーとTorネットワークを信頼する必要があり、悪意のある出口ノードから保護するものではありません。ただし、Torのブロック検閲を回避するためにはブリッジリレーがより良い可能性があります。
2. Tor上のVPN(出口ノード後のVPN)
VPN over Torは設定がやや難しく、VPNへの接続を設定し、データをTorを経由させてからVPNサーバーに渡さなければなりません。これにより悪意のある出口ノードは暗号化されていないデータを読み取ることができなくなりますが、出口ノードとサイトの両方があなたのVPNサーバーを見るため、匿名性が低下します。また、.onionサイトにアクセスできず、回路切替のようなTorネットワークの匿名化機能のいくつかを利用できません。この点については多くの議論がありますが、一般的に暗号化されたHTTPS接続を使う方が良い選択であり、VPN over Torは特定のケースでのみ役立ちます。
基本的に、TorとVPNを一緒に使用することはできますが、簡単な方法では悪意のある出口ノードから保護されず、難しい方法にはいくつかの重大な欠点が伴います。これらのアプローチは役立つことがありますが、トレードオフに注意することが最良です。
良いこと、悪いこと、そしてTor
Torは検閲を回避し、オンラインプライバシーを保護するための素晴らしい方法ですが、その限界や神話を認識することは重要です。Torネットワークには多くの違法でプライベートな活動が存在し、それを使用することであなたのトラフィックが正にそれをターゲットにしている人々や機関にさらされる可能性があります。悪意のあるTor出口ノードがネットワーク上の少数であるとしても、それが存在することは事実であり、ほとんどの所有者は単なる好奇心のある研究者ではありません。
