Torは本当に匿名で安全ですか?
誰かがあなたのブラウジングを監視し、あなたにそれを追跡することができないでインターネットにアクセスするためにTorが完全に匿名の、私用の、そして安全な方法であると信じている人もいます。それほど単純ではありません.
Torは完璧な匿名性とプライバシーの解決策ではありません。それにはいくつかの重要な制限とリスクがあります。あなたがそれを使うつもりならあなたはそれを知っておくべきです.
出口ノードは盗聴される可能性がある
Torが匿名性を提供する方法の詳細については、Torがどのように機能するかについての説明を読んでください。まとめると、あなたがTorを使うとき、あなたのインターネットトラフィックはTorのネットワークを通してルーティングされ、Torネットワークを出る前にいくつかのランダムに選択されたリレーを通ります。 Torは、どのコンピュータが実際にトラフィックを要求しているのかを知ることが理論的に不可能であるように設計されています。あなたのコンピュータは接続を開始したかもしれません、あるいはそれはただ中継として機能し、その暗号化されたトラフィックを他のTorノードに中継するかもしれません.
しかし、ほとんどのTorトラフィックは、やがてTorネットワークから出てくるはずです。たとえば、Torを介してGoogleに接続しているとします。トラフィックは複数のTorリレーを通過しますが、最終的にはTorネットワークから出現してGoogleのサーバーに接続する必要があります。あなたのトラフィックがTorネットワークを出てオープンインターネットに入る最後のTorノードを監視することができます。トラフィックがTorネットワークを出るこのノードは、「出口ノード」または「出口リレー」と呼ばれます。
下の図で、赤い矢印は、出口ノードとインターネット上のコンピュータである「Bob」の間の暗号化されていないトラフィックを表しています。.
Gmailアカウントなどの暗号化された(HTTPS)Webサイトにアクセスしている場合は、これで問題ありません。ただし、終了ノードからGmailに接続していることがわかります。暗号化されていないWebサイトにアクセスしている場合は、出口ノードがインターネットの活動を監視し、訪問したWebページ、実行した検索、送信したメッセージを追跡することができます。.
出口ノードを実行すると、単にトラフィックを通過させるリレーノードを実行するよりも法的リスクが高くなるため、人々は出口ノードを実行することに同意する必要があります。政府はいくつかの出口ノードを運営し、犯罪者を捜査するために学んだことを使用して、または抑圧的な国では政治活動家を罰することを使用して、それらを出るトラフィックを監視すること.
これは単なる理論上のリスクではありません。 2007年に、セキュリティ研究者がTor出口ノードを実行することによって、100の電子メールアカウントのパスワードと電子メールメッセージを傍受しました。問題となっているユーザーは、Torが内部の暗号化で何らかの方法でユーザーを保護すると考えて、自分の電子メールシステムに暗号化を使用しないという誤った誤りを犯しました。しかし、それはTorの動作方法ではありません.
レッスン:Torを使用するときは、機密性の高いものには必ず暗号化(HTTPS)Webサイトを使用してください。政府だけでなく、悪意のある人々が個人データを探している場合でも、トラフィックを監視できることに注意してください。.
JavaScript、プラグイン、その他のアプリケーションがあなたのIPを漏らす可能性があります
Torの使い方を説明したときに取り上げたTorブラウザバンドルは、安全な設定であらかじめ設定されています。 JavaScriptが無効になっている、プラグインが実行できない、ファイルをダウンロードして別のアプリケーションでそれを開こうとすると、ブラウザから警告される.
JavaScriptは通常セキュリティ上のリスクではありませんが、IPを隠そうとしているのであれば、JavaScriptを使用したくありません。あなたのブラウザのJavaScriptエンジン、Adobe Flashのようなプラグイン、そしてAdobe Readerのような外部アプリケーション、あるいはビデオプレーヤーさえも、あなたの本当のIPアドレスをそれを取得しようとするウェブサイトに「漏らす」可能性があります。.
Torブラウザバンドルは、デフォルト設定でこれらすべての問題を回避しますが、Torブラウザでこれらの保護を無効にしてJavaScriptまたはプラグインを使用する可能性があります。あなたが匿名性について真剣であるならば、これをしないでください - そして、あなたが匿名性について真剣でないなら、あなたはそもそもTorを使うべきではありません.
これは単なる理論上のリスクでもありません。 2011年に、研究者のグループはTorを通してBitTorrentクライアントを使用していた10,000人のIPアドレスを取得しました。他の多くの種類のアプリケーションと同様に、BitTorrentクライアントは安全でなくあなたの本当のIPアドレスを公開することが可能です。.
レッスン:Torブラウザの安全な設定をそのままにしてください。 Torを他のブラウザで使用しようとしないでください - 理想的な設定で事前設定されているTorブラウザバンドルを使い続けてください。 Torネットワークで他のアプリケーションを使うべきではありません.
出口ノードを実行すると危険にさらされる
あなたがオンライン匿名性を強く信じるなら、あなたはTorリレーを実行することによってあなたの帯域幅を寄付することに動機を与えられるかもしれません。これは法的な問題ではないはずです。TorリレーはTorネットワーク内で暗号化されたトラフィックをやり取りするだけです。 Torはボランティアによって運営されているリレーを通して匿名性を達成します.
しかしながら、あなたは出口トラフィックを実行する前に二度考えなければなりません。これはTorトラフィックが匿名ネットワークから出てオープンインターネットに接続する場所です。犯罪者が違法なものにTorを使用していて、トラフィックが出口リレーから出てくると、そのトラフィックはIPアドレスまで追跡可能になり、ドアをノックしてコンピュータ機器を没収する可能性があります。オーストリアのある男が、Tor出口ノードを運営していたために児童ポルノを配布したとして襲撃され、起訴された。 Tor出口ノードを実行すると、オープンなWi-Fiネットワークを運用しているのと同じように、他の人があなたにさかのぼることができる悪いことをすることができます。しかしながら、その結果は刑事上の罰則ではないかもしれません。あなたはただ米国の著作権警告システムの下で著作権で保護されたコンテンツまたは行動をダウンロードするための訴訟に直面するかもしれません.
Tor出口ノードの実行に伴うリスクは、実際には最初のポイントに結びつきます。 Tor出口ノードを実行するのはとても危険なので、それをする人はほとんどいません。しかし、政府は出口ノードを実行することをやめることができました - そしてそれはたぶん多くがそうします.
レッスン:Tor出口ノードを絶対に実行しない - 真剣に.
Torプロジェクトには、本当にやりたければexitノードを実行するための推奨事項があります。彼らの推奨には、商業施設内の専用IPアドレスで出口ノードを実行すること、およびTorにやさしいISPを使用することが含まれます。家でこれを試してはいけない! (ほとんどの人は仕事でこれを試してもいけません。)
Torはあなたに匿名性を与える魔法の解決策ではありません。暗号化されたトラフィックをネットワークを介して巧妙に通過させることで匿名性を実現しますが、そのトラフィックはどこかに出現する必要があります。これはTorのユーザと出口ノードオペレータの両方にとって問題です。さらに、私たちのコンピュータ上で動作するソフトウェアは私たちのIPアドレスを隠すようには設計されていません。そのためTorブラウザで普通のHTMLページを見ること以外のことをすると危険をもたらします。.
Image Credit:FlickrのMichael Whitney、FlickrのAndy Roberts、The Tor Project、Inc.