Shadowsocksまた他のVPNを使って銀行サイトからオンライン送金をしようとすると「攻撃の可能性があります」などのメッセージで警告を受ける場合があります。
これは,「中間者攻撃」に対する警告です。
Contents
中間者攻撃とは
銀行サイトの例では,ユーザーと銀行サイトのやり取りを,誰かが盗み見してデータをすり替える攻撃です。
そしてShadowsocksのような「プロキシ(代理)」サービスを利用した場合,まさに代理人としてサービス提供者である,かべネコが中間者の犯罪を犯しうる立場にいることになります。
つまり,当社が悪意を持てば,ユーザーと銀行サイトのやり取りをハッキングして金額,送金先を偽装できるからです。
もっとも銀行は悪意のプロキシと善意のプロキシを見分けることができませんので一律に警告してきます。
当社は日本国総務省の電気通信事業者の届出業者であります。ユーザーの通信内容を調査するのは警察等司法機関から法令に基づく依頼を受けたときだけです。
VPNでも生じ得る問題
同じ問題はVPNでも起こりえます。ですので無料のVPNの利用にはしばしば注意喚起されています。
カリフォルニア,バークレー大学が調査した300の無料VPNの調査では下記の恐ろしい実体が判明しました。
無料VPN 300の内
- 84%がユーザーの通信内容を漏洩。
- 38%にマルウェアがあった。
- 18%は暗号化無しであった。
なお,かべネコのサーバーには特定のユーザーの通信をリアルタイムで傍受する仕組みはありません。
提案
まず,無料のVPN,プロキシの利用は避けるようお勧めします。
また,PPTP,L2TP方式のVPNは,OSの機能を使うのに対して,Shadowsocksなど多くのプロキシではアプリを使うためセキュリティ上の不安が残ります。アプリがウイルス感染する恐れがあるからです。また,銀行取引などでは現実に脅威が有る無しに関わらず念の為警告を出しています。
このような場合,警告を尊重することをお勧めします。インターネットには他にも様々なリスクがあるため,Shadowsocks以外について警告している場合もあり得るからです。
銀行取り引き等で警告が出る場合,VPN(PPP,L2TP)に切り替えてご利用下さい。