VPN - Ivacy VPN
概要
Ivacy VPNは、2007年にシンガポールの企業PMG Pte. Ltd.により創業されたVPNサービスである。
2010年にはVPN業界の定番となったスプリットトンネリングのような優れたセキュリティ機能を提供していた。
Ivacy VPNは、100以上のロケーションに5700以上のサーバを提供しており、ユーザはセキュリティや匿名性を損なうことなく、オンライン上のあらゆるコンテンツにアクセスすることができた。
2024年8月、Ivacy VPNはPureVPNに買収・統合され、現在はIvacy Powered by PureVPNとして運営されている。
これに伴い、Ivacy VPN単体での新規契約は終了しており、新規ユーザはPureVPNを通じて契約する形となっている。
既存のIvacyユーザはPureVPNの機能にアクセス可能であるが、ライフタイム購読を持つユーザは5年プランへの移行を求められている。
なお、IvacyとPureVPNは、元々パキスタンの企業Gaditekが親会社であり、両社は以前から同じグループ企業として運営されていた。
PMG Pte. Ltd.はシンガポール登記であるが、LinkedInに掲載されている従業員の大多数はパキスタン在住であり、実質的な運営拠点はパキスタンであるとの指摘がある。
| 特徴 | 説明 |
|---|---|
| 256ビット暗号化 | 最大256ビットの暗号化を提供し、セキュリティの侵入を不可能にする。 インターネットトラフィックを暗号化し、サイバー犯罪者を寄せ付けないセキュリティプロトコルを楽しむことができる。 |
| ノーログポリシー | オンライン上のプライバシーを守るために、ログを残さないという明確なポリシーを持つ。 |
| ISPスロッティングの回避 | ISPスロッティングを回避するため、IvacyはユーザのIPアドレスをマスクし、ISPスロットリングを回避する。 |
| インターネットキルスイッチ | インターネットキルスイッチ機能は、接続が切断されたことを検出すると、直ちにインターネットを停止する。 これにより、常にプライベートな状態を保つことができる。 |
| 専用IP | 専用IPでは、IPアドレスをホワイトリストに登録できる。 企業アカウントや一般的なオンラインアカウントへの不正アクセスを防止し、セキュリティを強化する。 |
| スプリット・トンネリング | Ivacy VPNはスプリット・トンネリングのパイオニアである。 ローカルと海外のコンテンツに同時にアクセスできる。 ローカルLANを経由しながら、VPN経由でコンテンツにアクセスできる。 |
ノーログポリシーの検証
Ivacy VPNはゼロログポリシーを掲げており、オンライン上のプライバシーを守るために一切のログを残さないと主張している。
しかし、その信頼性には複数の懸念事項が存在する。
公式のノーログポリシー
Ivacy VPNの公式プライバシーポリシーでは、以下に示すデータを記録しないと明記している。
- オンラインブラウジング活動
- 接続ログ
- 割り当てられたVPN IPアドレス
- 元のIPアドレス
- ブラウジング履歴
- 送受信トラフィック
- 接続時間
- DNSクエリ
実際に収集されるデータ
一方、プライバシーポリシーでは以下に示すデータを収集すると明記されている。
- 氏名、メールアドレス、支払い情報
- 接続元の国
- クラッシュレポートおよびパフォーマンスデータ (Firebase / Crashlytics経由)
- 合計帯域幅使用量
- ログイン失敗の試み
- Webサイトアクセスに関するGoogle Analyticsデータ
Firebase / Crashlyticsを経由したデータは米国に送信される可能性があり、Google Analyticsも米国法の対象となるため、
完全なプライバシー保護とは言えない状況である。
独立監査の欠如
Ivacy VPNは公式サイトで定期的に監査を受けていると主張しているが、公開された独立監査報告書は一切存在しない。
複数のレビューサイトがIvacyに直接問い合わせたところ、監査の詳細や実施者の開示を拒否している。
下表に、競合VPNとの比較を示す。
| VPNプロバイダ | 独立監査 | ワラントカナリー | 透明性レポート |
|---|---|---|---|
| Ivacy VPN | なし | なし | なし |
| ExpressVPN | あり (KPMG) | なし | あり |
| Private Internet Access | あり (Deloitte) | なし | あり |
| Mullvad | あり | あり | あり |
| Proton VPN | あり | なし | あり |
なお、Ivacy VPNはIoXT (Internet of Secure Things) の認証を受けているが、これはAndroidアプリのセキュリティ基準の確認に限定されており、ノーログポリシーの検証ではない。
2017年: PureVPNによるFBIへのログ提供事件
Ivacy VPNの親会社グループであるPureVPNは、2017年にノーログポリシーに反してFBIにユーザログを提供した前科がある。
事件の概要を以下に示す。
- 2017年10月、米国マサチューセッツ州のRyan S. Linがサイバーストーキング罪で逮捕された。
- PureVPNは「ノーログポリシー」を掲げていたにもかかわらず、FBIの捜査に対してユーザのアクセスログを提供した。
- 具体的には、接続時刻、VPN接続元のIPアドレス、2つの異なる元IPアドレスから同一アカウントでアクセスされたことの確認情報が提出された。
- PureVPNは後に、"ユーザアクティビティはログしないが、IPアドレスは記録する" と弁明した。
IvacyとPureVPNは元々同じ親会社 (Gaditek) 傘下であり、同じサーバインフラを共有していたことが研究者により確認されている。
2024年8月にIvacyがPureVPNに正式に買収・統合されたことで、PureVPNのデータ管理ポリシーがIvacyユーザにも適用される可能性がある。
2023年: コード署名証明書の盗用事件
2023年5月、Ivacy VPNの運営元であるPMG Pte. Ltd.のコード署名証明書が中国のAPTグループ Bronze Starlight により盗用されていることが判明した。
- 盗用された証明書は、東南アジアのギャンブル業界を標的としたマルウェア配布に使用された。
- SentinelLabsの分析によれば、PMG Pte. Ltd.の署名キーがどの時点かで盗まれたと推測されている。
- Ivacy VPNおよびPMG Pte. Ltd.は、この事件についていかなる公式声明も発表しておらず、証明書がどのように盗まれたかは不明のままである。
- 証明書はDigiCertにより無効化された。
この事件は、Ivacy VPNのセキュリティ管理能力そのものに疑問を投げかけるものである。
所有権の不透明性
Ivacy VPNの企業構造には透明性の問題が指摘されている。
- 公式にはシンガポールのPMG Pte. Ltd.が運営元と主張しているが、実質的にはパキスタンの企業Gaditek (またはDisrupt.com) が支配していた。
- GaditekはIvacy VPNとの関係をWebサイトから意図的に削除している。
- 2019年にIvacy VPNが公開した透明性ページは、架空のPRマネージャーとジャーナリストの対話を記載したものであり、セキュリティ専門家やレビューサイトから "明らかに虚構" と批判された。
- Ivacy VPNが複数のVPNレビューサイトを運営し、有利な評価と引き換えにライフタイム契約を提供していた疑惑も存在する。
5 Eyes同盟との関係
Ivacy VPNの本社所在地であるシンガポールは、Five Eyes / Nine Eyes / Fourteen Eyes同盟の正式なメンバーではない。
しかし、スノーデンによるリーク文書により、シンガポールはFive Eyesとの実質的な情報共有協力を行っている第三者貢献国であることが示唆されている。
そのため、シンガポールの法的管轄権に基づく情報開示要求に対して、完全な独立性は期待できない可能性がある。
総合評価
以上に示す調査結果から、Ivacy VPNのノーログポリシーの信頼性には重大な懸念がある。
- 独立した第三者監査が一切公開されておらず、ノーログポリシーの検証が不可能である。
- 親会社グループのPureVPNが「ノーログ」を偽りFBIにログを提供した前科がある。
- 企業構造の不透明性と所有権の隠蔽が指摘されている。
- ワラントカナリーおよび透明性レポートが存在しない。
- コード署名証明書の盗用事件により、セキュリティ管理能力に疑問がある。
プライバシーを重視する場合は、独立監査済みかつ透明性の高い代替VPN (Mullvad、Proton VPN、ExpressVPN等) の検討を推奨する。
Ivacy VPNの契約
※注意
2024年8月のPureVPNとの統合により、Ivacy VPN単体での新規契約は終了している。
そのため、新規ユーザはPureVPN (https://www.purevpn.com/) を通じて契約する必要がある。
以下に示す契約手順は、統合前の契約手順を参考として記載するものである。
Ivacy VPNの契約手順を以下に示す。
- Ivacy VPNの公式Webサイトへアクセスして、ページにある[GET STARTED]を選択する。
- [Select Ivacy's exclusive pricing plan]では、月間または年間のプランを選択する。
- [Create Your Account]では、Eメールアドレスを入力する。
- [Security Add-Ons]はオプションである。飛ばしても構わない。
- [Select Payment Method]では、支払い方法 (クレジットカード、PayPal、Bitpay等) を入力して、[PROCEED TO PAYMENT]を選択する。
Ivacy VPNの料金は、年間47.76ドル(更新時も同様)、5年60ドル、1ヶ月9.95ドルであった。(2023年7月時点)
なお、既存のIvacyユーザはPureVPNへの移行が行われており、ライフタイム購読を持つユーザは5年プランへの移行を求められている。
Ivacy VPNの設定
※注意
2024年8月のPureVPNとの統合により、以下の設定手順やダウンロードURLが変更されている可能性がある。
最新の設定方法はPureVPNの公式サイトを確認すること。
Ivacy VPN (OpenVPN) を設定するには、以下に示す手順に従う。
NetworkManagerを使用する場合
GNOMEの場合
- Ivacy VPNの公式Webサイトにアクセスして、OpenVPN設定ファイルをダウンロードする。
wget https://ivacy.s3.amazonaws.com/support/OpenVPN-Configs-with-certificate.rar
- ダウンロードしたファイルを解凍する。
unrar OpenVPN-Configs-with-certificate.rar
- OpenVPNの設定ファイルをインポートして使用するために必要な依存関係のライブラリをインストールする。
# RHEL sudo dnf install openvpn NetworkManager-openvpn NetworkManager-openvpn-gnome # SUSE sudo zypper install openvpn NetworkManager-openvpn NetworkManager-openvpn-gnome
- GNOMEのホーム画面右上にある[ネットワーク]アイコンをクリックして、[有線接続]プルダウンから[有線設定]を選択する。
- [設定]画面が開くので、画面左にある[ネットワーク] - 画面右の[VPN]項目の右にある[+]ボタンを押下する。
- [VPNの追加]画面が開くので、[ファイルからインポート...]を選択する。
- 上記で解凍したOpenVPN設定ファイルを選択して、画面右上にある[開く]ボタンを押下する。
- OpenVPNファイルの命名形式は、国-<TCP>、または、国-OB-<UDP>である。
- 例. SG_TCP.ovpn
- 選択したOpenVPN設定ファイルが未保存のセッションとしてNetworkManagerにインポートされるので、[VPNの追加]画面から以下に示す項目を入力および設定する。
- [接続名]
- IvacyVPN OpenVPN
- [Gateway]
- Ivacy VPNの公式Webサイトを確認して、ゲートウェイを入力する。(例: de2-ovpn-udp.dns2use.com)
- [接続タイプ]
- [パスワード]を選択する。
- [ユーザ名]
- Ivacy VPNのログインユーザ名を入力する。
- [パスワード]
- Ivacy VPNのログインパスワードを入力する。
- [CA証明書]
- 自動的に入力される。
- [接続名]
- [VPNの追加]画面にある[IPv6]タブを選択して、[無効]ボタンを選択する。
- [VPNの追加]画面右上にある[追加]ボタンを押下する。
- 上記で選択したIvacy VPNのOpenVPN設定が作成されて、Ivacy VPNのOpenVPNセッションが[VPN]項目の選択エリアにリストされていることを確認する。
これは、[VPN]項目の選択エリアにあるスライダースイッチを押下することにより、接続および切断を切り替えることができる。
また、GNOMEのホーム画面右上にある[ネットワーク]アイコンをクリックして、VPNの接続および切断を切り替えることができる。 - IPアドレスが匿名かつプライベートなIvacy VPNに変更されたことを確認する場合は、http://ipchicken.com にアクセスする。
- 次に、Webブラウザのクッキーおよびキャッシュを削除する。
- 最後に、以下に示すURLにアクセスして、DNSリークを確認する。
KDEの場合
- Ivacy VPNの公式Webサイトにアクセスして、
OpenVPN設定ファイル (OpenVPN Files with Certificates) をダウンロードする。wget https://ivacy.s3.amazonaws.com/support/OpenVPN-Configs-with-certificate.rar
- ダウンロードしたファイルを解凍する。
unrar OpenVPN-Configs-with-certificate.rar
- OpenVPNの設定ファイルをインポートして使用するために必要な依存関係のライブラリをインストールする。
# RHEL sudo dnf install openvpn NetworkManager-openvpn plasma-nm-openvpn # SUSE sudo zypper install openvpn NetworkManager-openvpn plasma-nm5-openvpn
- [KDEシステム設定]を起動して、[接続]を選択する。
- [接続]画面が開くので、画面左下(接続先リストの下)にある[+]を押下する。
- [接続タイプの選択]画面が開くので、リストの最下行にある[VPN接続をインポート...]オプションを選択して[作成]ボタンを押下する。
- [VPN接続をインポート]画面が開くので、解凍したディレクトリ内にあるOpenVPNファイル(VPNサーバ)を選択する。
例. SG_TCP.ovpn - 証明書をコピーするよう求められたら、[はい]ボタンを押下する。
- [接続]画面左にIvacy VPNのVPN接続が表示されるので、IvacyVPNと入力する。
- [接続]画面右にある[VPN(openvpn)]タブを選択して、以下に示す設定を行う。
- [Gateway]
- 自動的に入力される。
- [接続タイプ]
- [パスワード]を選択する。
- [ユーザ名]
- Ivacy VPNのログインユーザ名を入力する。
- これは、登録したメールアドレスではなく、ivacy0s〇〇〇〇のような名前のユーザ名であることに注意する。
- もし、ユーザ名が分からない場合は、Ivacy VPNの公式Webサイトにアクセスして、ライブチャット (画面右下に表示される) で問い合わせること。
- または、https://member.ivacy.com/manual-configration にアクセスして、各ファイルのダウンロード時に表示されるユーザ名を使用する。
- [パスワード]
- Ivacy VPNのログインパスワードを入力する。
- これは、アカウント開設時のパスワードである。
- [このユーザーのみにパスワードを保存する]、または、[すべてのユーザーにパスワードを保存]を選択する。
- [CA証明書]
- Ivacy VPNのOpenVPNファイルをインポートした時に自動生成されるpemファイルを選択する。(OpenVPNファイルごとにpemファイルが生成されることに注意する)
- このファイルは、~/.cert/nm-openvpn/ ディレクトリに存在し、<接続先ロケーション>_TCP-ca.pem という名前のファイルである。
- [Gateway]
- [Advanced]ボタンを押下して、[OpenVPN Advanced Options]画面を開く。
- [General]タブを選択する。
- [カスタムゲートウェイポートを使用する]をチェックする。
- TCPの場合は、80番、または、1194番を入力する。
- ただし、1194番を入力する場合は、[VPN (openvpn)]タブの[ゲートウェイ]項目のサフィックスを":1194"へ変更すること。
- UDPの場合は、53番を入力する。
- ※注意
- TCP接続の場合は、[Use a TCP Connection......]を選択する。
- [セキュリティ]タブを選択して、以下に示すオプションを選択する。
- [暗号]プルダウンから[AES-256-CBC]を選択する。
- [HMAC認証]プルダウンから[SHA-1]、または、[Default]を選択する。
- [TLS認証]タブを選択する。
- [Verify peer (server) certificate usage signature]チェックボックスにチェックを入力する。
- [Remote peer certificate TLS type]プルダウンから[Server]を選択する。
- [Mode:]プルダウンから[TLS-Auth]を選択する。
- [キーファイル]には、OpenVPNファイルを追加した時に自動生成されるtls-auth.pemファイルを選択する。
- このファイルは、~/.cert/nm-openvpn/<接続先ロケーション>_TCP-tls-auth.pemファイルである。
- [Key Direction]プルダウンから[Client (1)]を選択する。
- [General]タブを選択する。
- [接続]画面右にある[IPv6]タブを選択して、[この接続には IPv6 が必要]チェックボックスのチェックを外す。
- [接続画面]右下にある[適用]ボタンを押下する。
- タスクバーにあるネットワークアイコンをクリックすると、上記のセクションで作成したOpenVPNが表示されるので、[接続]ボタンを押下する。
- [VPN secrets (openvpn) dialog]ダイアログが表示されてパスワードの入力を促される場合は、再度、Ivacy VPNのパスワードを入力する。
- IPアドレスが匿名かつプライベートなIvacy VPNに変更されたことを確認する場合は、http://ipchicken.com にアクセスする。
- 次に、Webブラウザのクッキーおよびキャッシュを削除する。
- 最後に、以下に示すURLにアクセスして、DNSリークを確認する。
OpenVPNコマンドを使用する場合
- Ivacy VPNの公式Webサイトにアクセスして、OpenVPN設定ファイルをダウンロードする。
wget https://ivacy.s3.amazonaws.com/support/OpenVPN-Configs.rar
- ダウンロードしたファイルを解凍する。
解凍したディレクトリには、OpenVPNファイルと証明書ファイル(.crt拡張子)の2つがある。 - 上記で編集したOpenVPN設定ファイルを使用して、OpenVPNをコマンドから起動する。
cd <OpenVPNの設定ファイルがあるディレクトリ> sudo openvpn --config <OpenVPNの設定ファイルのパス> # または sudo openvpn --config <OpenVPNの設定ファイルのパス> --ca <証明書ファイルのパス>
VPN over Tor
Ivacy VPNは、VPN over TORをサポートしていない。
VPN接続、または、Tor over VPN接続のみが使用できることに注意する。
Tor over VPN
VPNネットワーク経由でTorに接続する方法であり、Torは終了ノードになる。
- "Ivacy VPNの設定"セクションを参照して、VPNに接続する。
- Torブラウザの公式Webサイトにアクセスして、Torブラウザをダウンロードおよびインストールする。
- Torブラウザを起動して、[Connect]ボタンを押下する。
Torブラウザの設定はデフォルトのままでよい。
Torrentの使用
設定
Torrentプロトコルは、以下の手順でより安全に使用できる。
qBittorrentクライアントの設定のみ記載する。
これは、uTorrent、Vuze、BitComet等のクライアントは、オープンソースではなく、アドウェアやジャンクウェアが含まれていたり、優れたプライバシー設定が施されていないためである。
※注意
WireGuardとOpenVPNを切り替えた場合、ネットワークインターフェイスを再バインドして、qBittorrentを再起動する必要がある。
また、SOCKS5を使用している場合は、WireGuardまたはOpenVPNの使用に応じて、IPアドレスを変更する必要がある。
- Ivacy VPNを接続する。
- qBittorrentを起動して、[ツール]メニューバー - [設定]メニューを選択する。
- [設定]画面左ペインにある[高度]を選択する。
- [設定]画面右ペインにある[ネットワークインターフェイス]を、使用しているソフトウェアとプロトコルに応じて、次のいずれかに変更する。
- OpenVPNを使用したIvacy VPNソフトウェア (Ivacy VPNソフトウェアからOpenVPNで接続している場合)
- tun0
- OpenVPNスタンドアロン (NetworkManagerからOpenVPNで接続している場合)
- tun0
- WireGuardを使用したIvacy VPNソフトウェア (Ivacy VPNソフトウェアからWireGuardで接続している場合)
- OpenVPNを使用したIvacy VPNソフトウェア (Ivacy VPNソフトウェアからOpenVPNで接続している場合)
- [バインドする任意のIPアドレス]プルダウンから、Ivacy VPNで接続しているIPアドレスを選択する。
- [OK]ボタンを押下する。
- [ファイル] - [終了]を選択してqBittorrentを終了して、qBittorrentを再起動する。
qBittorrentの推奨設定を、以下に示す。
- qBittorrentを起動して、[ツール] - [設定]を選択する。
- [設定]画面左ペインにある[BitTorrent]を選択する。
- [設定]画面右ペインにある[匿名モードを有効にする]を選択する。
- [DHT(分散ネットワーク)を有効にする]チェックボックスのチェックを外す。
- [ピア交換(PeX)を有効にする]チェックボックスのチェックを外す。
- [ローカルピア検出(LSD)を有効にする]チェックボックスのチェックを外す。
- [設定]画面左ペインにある[接続]を選択して、[ピア接続プロトコル]プルダウンから[TCP]を選択する。
ポートフォワーディング (ポート転送)
qBittorrentを起動して、[接続] - [受信接続に使用するポート]にポートを追加する。
これにより、シードが向上する可能性がある。
ただし、SOCKS5が有効な場合、この機能は無効になることに注意する。
Bittorrentクライアントへのポートフォワーディングの詳細を知りたい場合は、ポートフォワードガイドを参照すること。
その他のエラー
qBittorrentにおいて、SOCKS5プロキシを有効にした場合、qBittorrentがオフラインと表示される場合がある。
SOCKS5プロトコルはポートフォワーディングをサポートしないため、トラッカーレスのTorrentを使用する場合は、DHTを有効にする必要があるかもしれない。
そうでない場合は、SOCKS5プロキシを無効にする必要がある。
