Tor は、誰もあなたのブラウジングを監視したり、あなたを追跡したりすることなく、インターネットにアクセスするための完全に匿名でプライベートで安全な方法であると信じている人もいますが、本当でしょうか?それほど単純ではありません。
Tor は完璧な匿名性とプライバシーのソリューションではありません。これにはいくつかの重要な制限事項とリスクがあるため、使用する場合は注意する必要があります。
出口ノードは盗聴可能
Tor の匿名性がどのように提供されるかについて詳しくは 、Tor の仕組みに関する説明を お読みください。要約すると、Tor を使用すると、インターネット トラフィックは Tor のネットワークを介してルーティングされ、ランダムに選択されたいくつかのリレーを通過してから Tor ネットワークから出ます。 Tor は、理論的にはどのコンピュータが実際にトラフィックを要求したかを知ることができないように設計されています。コンピュータが接続を開始したか、単にリレーとして機能し、暗号化されたトラフィックを別の Tor ノードに中継している可能性があります。
ただし、ほとんどの Tor トラフィックは最終的には Tor ネットワークから出てくる必要があります。たとえば、Tor 経由で Google に接続しているとします。トラフィックはいくつかの Tor リレーを通過しますが、最終的には Tor ネットワークから出てきて Google のサーバーに接続する必要があります。トラフィックが Tor ネットワークから出てオープン インターネットに入る最後の Tor ノードを監視できます。トラフィックが Tor ネットワークから出るこのノードは、「出口ノード」または「出口リレー」と呼ばれます。
Gmail アカウントなどの暗号化された (HTTPS) Web サイトにアクセスしている場合は問題ありませんが、出口ノードは Gmail に接続していることを認識できます。暗号化されていない Web サイトにアクセスしている場合、出口ノードはインターネット アクティビティを監視し、アクセスした Web ページ、実行した検索、送信したメッセージを追跡する可能性があります。
出口ノードを実行すると、単にトラフィックを通過させる中継ノードを実行するよりも法的リスクが高まるため、ユーザーは出口ノードの実行に同意する必要があります。おそらく政府はいくつかの出口ノードを運営し、そこから出ていくトラフィックを監視し、そこから得た情報を利用して犯罪者を捜査したり、抑圧的な国では政治活動家を処罰したりしている可能性が高い。
これは単なる理論上のリスクではありません。 2007 年、 セキュリティ研究者が Tor 出口ノードを実行して、100 個の電子メール アカウントのパスワードと電子メール メッセージを傍受しました 。問題のユーザーは、Tor が内部暗号化で何らかの形でユーザーを保護してくれると信じて、電子メール システムで暗号化を使用しなかったという間違いを犯しました。しかし、Tor の仕組みはそうではありません。
教訓 : Tor を使用するときは、機密性の高いものには必ず暗号化された (HTTPS) Web サイトを使用してください。トラフィックは政府だけでなく、個人データを狙う悪意のある人々によって監視される可能性があることに留意してください。
JavaScript、プラグイン、その他のアプリケーションにより IP が漏洩する可能性がある
Tor の使用方法を説明した ときに説明した Tor ブラウザ バンドルには、安全な設定が事前に構成されています。 JavaScript が無効になっており、プラグインは実行できません。ファイルをダウンロードして別のアプリケーションで開こうとすると、ブラウザによって警告が表示されます。
JavaScript は通常、セキュリティ上のリスクはありません が、IP を隠そうとしている場合は、JavaScript を使用したくないでしょう。ブラウザの JavaScript エンジン、Adobe Flash などのプラグイン、Adobe Reader やビデオ プレーヤーなどの外部アプリケーションはすべて、実際の IP アドレスを取得しようとする Web サイトに実際の IP アドレスを「漏洩」する可能性があります。
Tor ブラウザ バンドルはデフォルト設定でこれらすべての問題を回避しますが、これらの保護を無効にして、Tor ブラウザで JavaScript またはプラグインを使用する可能性があります。匿名性を真剣に考えている場合は、これを行わないでください。匿名性を真剣に考えていない場合は、そもそも Tor を使用すべきではありません。
これは単なる理論上のリスクではありません。 2011 年、 研究者のグループは、Tor を通じて BitTorrent クライアントを使用していた 10,000 人の IP アドレスを取得しました 。他の多くの種類のアプリケーションと同様、BitTorrent クライアントは安全ではなく、実際の IP アドレスを公開する可能性があります。
教訓 : Tor ブラウザの安全な設定はそのままにしておいてください。別のブラウザで Tor を使用しようとせず、理想的な設定で事前に構成された Tor ブラウザ バンドルを使用してください。 Tor ネットワークでは他のアプリケーションを使用しないでください。
Exit ノードを実行すると危険にさらされる
オンラインの匿名性を強く信じている場合は、Tor リレーを実行して帯域幅を寄付する動機になるかもしれません。これは法的な問題ではありません。Tor リレーは暗号化されたトラフィックを Tor ネットワーク内でやり取りするだけです。 Tor は、ボランティアによって運営される中継を通じて匿名性を実現します。
ただし、出口リレーを実行する前によく考えてください。出口リレーは、Tor トラフィックが匿名ネットワークから出てきて、オープンなインターネットに接続する場所です。犯罪者が違法行為に Tor を使用し、そのトラフィックが出口リレーから出た場合、そのトラフィックはあなたの IP アドレスまで追跡でき、ドアがノックされ、コンピュータ機器が没収される可能性があります。オーストリアの男性が、Tor出口ノードを運営していた 児童ポルノを配布した疑いで家宅捜索を受け、起訴された 。 Tor 出口ノードを実行すると 、オープンな Wi-Fi ネットワークを運用する のと同じように、他の人があなたに遡って悪事を行うことができますが、実際に問題に巻き込まれる可能性は非常に高いです。ただし、その結果は刑事罰にならない可能性があります。著作権で保護されたコンテンツをダウンロードした場合、訴訟に直面したり、 米国の著作権警告システム に基づいて訴訟を起こされる可能性があります。
Tor 出口ノードの実行に伴うリスクは、実際には最初の点と結びついています。 Tor 終了ノードの実行は非常に危険なため、実行する人はほとんどいません。ただし、政府は出口ノードを実行するだけで済む可能性があり、おそらく多くの政府がそうしているでしょう。
教訓 : Tor 終了ノードは絶対に実行しないでください。真剣に。
Tor プロジェクトには、本当に必要な場合に 終了ノードを実行するための推奨事項 が記載されています。彼らの推奨事項には、商業施設内の専用 IP アドレスで出口ノードを実行することや、Tor フレンドリーな ISP を使用することが含まれています。家ではこれを試さないでください。 (ほとんどの人は職場でこれを試すべきではありません。)
Tor は匿名性を実現する魔法のソリューションではありません。暗号化されたトラフィックをネットワーク経由で巧妙に渡すことで匿名性を実現しますが、そのトラフィックはどこかに出現する必要があり、これが Tor のユーザーと出口ノード オペレーターの両方にとって問題となります。さらに、私たちのコンピュータで実行されるソフトウェアは IP アドレスを隠すように設計されていないため、Tor ブラウザでプレーンな HTML ページを表示する以外のことを行うとリスクが生じます。
画像クレジット: Michael Whitney on Flickr 、 Andy Roberts on Flickr 、 The Tor Project, Inc.
