VPNはVirtual Private Networkの略です。新型コロナの影響でリモートワークが増えて「VPN」というワードを見聞きする機会が増えましたが、ハッカー向けのVPNというのは基本技術は同じでも利用目的が異なります。
目次
なぜVPNを使うのか
VPNを使うメリットは次の3つです。
- 本当のIPアドレスを隠すことができる
- 簡単にIPアドレスを変更できる
- ロケーションベースのアドレス制限を突破する
本当のIPアドレスを隠す
裁判所命令があれば比較的簡単にIPアドレスから身元を特定されます。たとえ自分では悪意がないつもりでも相手が攻撃とみなした場合はどうしようもありません。バグバウンティでスコープ内のWEBサーバーへ攻撃を仕掛けている分には訴えられる事はないでしょうが、バグバウンティに関係ない調査などは注意が必要です。また、IPアドレスベースで追跡される事を避けるためにも、わたしはVPNでIPアドレスを隠しています。特に非合法なサイトなどに潜り込むときは必ずVPNを使っています。
IPアドレスの変更が楽
ffufでファジングしているとIPアドレスがブラックリストに入ってアクセス拒否される場合があります。そんな時にVPNを使っているとボタンひとつでIPアドレスを変更して調査を継続できます。
IPアドレスを気軽に変更できるというのはバグ調査で非常に安心感があります。
ロケーションを簡単に変更できる
日本でも海外からのアクセスを禁止しているサービスがあります。ロケーションベースのアクセス制限はIPアドレスから接続元の国を判定しているので、IPアドレスを変える事によってロケーションベースのアクセス制限を突破できます。
フランスのサービスでユーロ圏以外からのアクセスを遮断している、なんてときはイタリアとかフランスのIPアドレスに変更すれば良いわけです。幸いな事にVPNサービスが提供するVPNクライアントは国を指定してIPアドレスを変更できるので、この機能は非常に重宝します。
匿名性の高いVPNサービス
匿名性を高めるにはノーログポリシーで運営されている必要があるのですが、どのサービスもノーログポリシーで運用されていると宣伝していて迷ってしまいます。
結論から言うと信頼できるノーログポリシーは多くありません。ノーログポリシーと宣伝していてもポリシーをよく読んでみると隅の方に例外について書いてあったり、曖昧な表現をしている場合があるので注意が必要です。
日本国内のVPNサービスでもノーログポリシーと宣伝しているものがありますが、ハッカーが期待するノーログポリシーではありません。実際のところ通信内容を監視されているので脆弱性調査であっても不正行為と見なされてアカウント停止になる場合があります。
ノーログポリシーについてはこの記事が参考になるかも知れません。ノーログポリシーについて詳しく解説しています。
それを踏まえて、匿名性の高いVPNサービスを選択する必要があります。
おすすめのVPNサービス3選
規模が大きくて信頼性の高いVPNサービスのうち、特に匿名性が高いのは次の3つのVPNサービスです(参考記事はこちら)。
この中でもわたしが気に入って常用しているのは、Linux向けに専用のGUIアプリを提供しているPIAです。
NordVPN
- 月額 $3.49 ~
- PwCによってノーログポリシーを証明済み
- Double VPN/Onion Over VPNによる匿名化
NodVPNはおそらく最も有名で利用者の多いVPNサービスです。通信速度が早くアプリも使いやすいのでオールラウンドに使えるVPNサービスです。価格がそこそこ安い点も人気の秘密なのかも知れません。
わたしがWindowsをメインに使っていたときはNordVPNが好みだったのですがKali Linuxをメインに使うようになってから利用頻度が下がりました。というのも、Kali LinuxでNordVPNを使うにはコマンドラインで操作する必要があるためです。IPアドレスをサクサク切り替えるにはGUIアプリを使いたいところです。
PIA
https://www.privateinternetaccess.com/
- 月額 $2.03 ~
- Deloitteによってノーログポリシーを証明済み
PIA(Private Internet Access)はRedditで人気ナンバーワンになるくらい人気が高いのですが日本ではあまり利用者が多くないようです。PIAのメリットはKali Linuxで専用のGUIアプリが使える点です。しかもサーバー台数が多く通信速度も早いのに価格が非常に安い(3年プランで1万円程度)点が魅力的です。
今のところPIAが一番使いやすいVPNだと思っています。
ExpressVPN
- 月額 $8.32 ~
- PwCによってノーログポリシーを証明済み
ExpressVPNはNordVPNと同じくらい人気があるのですが、いかんせん価格が高いです。また匿名性は抜群ですがKali LinuxではGUIアプリが使えないので、わたしは今は使っていません。