Burp Extensions おすすめ10選

Burp Extensions

Burp Suite の Extension は、拡張機能として Burp の Extensions タブからインストールしてカスタムすることができます。

今回はこのExtensions を10個紹介します。

はじめに

免責事項

本文書の目的は、セキュリティに関する知識を広く共有することであり、悪用を奨励するものではありません。

注意事項

提供されるツールには、ファジング(総当たり攻撃)を含む列挙や検証が含まれています。

総当たり攻撃を行うツールは、対象に負荷をかけたり、悪影響を与える可能性があるため、十分に注意して使用する必要があります。

総当たり攻撃を行うツールを使用する場合は、対象の利用規約(スキャンツールの利用、レート制限など)を十分に理解し、その規約に従って慎重に操作してください。

Logger++ は、Burp Suite の全機能からのリクエストとレスポンスを記録し、一覧表示する機能を提供します。

Proxy タブのデフォルト機能である history では、Scanner や Repeater などのログを記録して表示することができません。そのため、Logger++ タブを使用することで、すべてのログを一括して確認できます。

さらに、すべてのログに対して検索を行ったり、CSV 形式でファイルに保存することも可能です。


Active Scan++ (Pro)

Active Scan++ は、Active scanやPassive scanの機能を拡張することができます。

Active Scanを使用する場合、Active Scan++によってより多くのパターンでスキャンすることができます。

利用する際は、Proxyタブのhistoryなどから対象のリクエストを右クリックし、「Do active scan」から実行できます。

注意点として、Active scanは総当たりによるスキャンであるため、十分に注意して利用してください。

Param Miner

Param Miner は、Web アプリケーションで非表示になっている GET パラメーターやヘッダー、Cookie などを検出することができます。

検出するロジックとしては、一般的によく使われるパラメーター名のリストを送信して、レスポンスの変化から検出しています。

これにより、Reflected XSS や Web Cache Poisoning などに有効的に使えるパラメーターを見つけられる可能性があります。

利用する際は、Proxy タブの history などから対象のリクエストを右クリックして、「Extensions」にある「Param Miner」から実行することができます。

注意点として、Param Miner は総当たりによる列挙のため、十分に注意して利用してください。

Autorize

Autorizeは、認証と認可の検証に役立ちます。

認証の検証では、Cookieを含まない全てのリクエストを繰り返し、認証情報なしでアクセスできるかを検出することが可能です。

認可の検証では、低い権限を持つユーザーのCookie情報を使用し、高い権限のユーザーがアクセス可能なリクエストに、低い権限のユーザーでもアクセスできるかを検出することが可能です。

また、認可制御の不備であるIDOR(Insecure Direct Object Reference)などの問題を検出することも可能です。

利用する際は、Autorizeタブから操作することができます。

403 Bypasser (Pro)

403 Bypasserは、「403 Forbidden Error」のアクセス制御を簡単に回避するための検証ツールです。

利用する際は、Proxyタブのhistoryなどから対象のリクエストを右クリックし、「Extensions」内の「403 Bypasser」から実行できます。

注意点として、403 Bypasserは総当たりによる検証を行うため、利用時には十分に注意してください。


JS Miner (Pro)

JS Minerは、JavaScriptやJSONなどの静的ファイルから興味深い情報を検出するツールです。

このツールは、主にエンドポイントやシークレットな情報と思われる内容を自動で検出することができます。

詳しく利用するには、Proxyタブのhistoryなどから対象のリクエストを右クリックし、「Extensions」内の「JS Miner」から実行することができます。

Backslash Powered Scanner (Pro)

Backslash Powered Scannerは、サーバーサイドのInjection脆弱性に対してさまざまなアプローチを検証できるツールです。

このツールでは、主にWAFの回避やフィルタリングの回避などを検証できます。

利用する際は、Active scanの拡張として実行することができます。

Software Vulnerability Scanner (Pro)

Software Vulnerability Scannerは、検出されたソフトウェアのバージョンを自動的に特定できます。

また、特定されたソフトウェアのバージョンに基づいて、「https://vulners.com/」のAPIを使用して既知の脆弱性(CVE)が存在するかどうかも確認できます。

InQL - GraphQL Scanner

InQLは、GraphQLのエンドポイントに対してスキーマなどを分析することができるツールです。

これにより、GraphQLのエンドポイントの列挙や認可制御の不備などを効果的に確認することができます。

利用する際は、InQLタブから操作することができます。

SAML Raider

SAML Raiderは、SAMLの実装に対して脆弱性を検証するツールです。

特に、SAML認証のメッセージの情報を確認したり、署名を改ざんしたり、手軽に検証することが可能です。


Labels:

【セキュリティ事件簿#2024-134】大東文化大学 不正アクセスによる情報漏えいのおそれがある事案の発生について 2024/3/27

 

この度、本学非常勤講師が所有するパソコンが外部から不正アクセスされ、当該教員が担当していた科目(板橋校舎開講1科目)の成績を含む69名分の個人情報が漏えいしたおそれがあることが判明いたしました。

本事案については、警察に被害届を提出し、また該当する学生の皆さんに対しては、個別に連絡させていただいております。なお、本日までに学生等より本事案に関わる被害の相談は受けておりません。

本事案に関係した学生並びに関係者の方々には、多大なるご迷惑をおかけしますことを深くお詫び申し上げます。

本事案を厳粛に受け止め、今後同様の事象が発生しないように再発防止を徹底してまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-133】CRESS TECH株式会社 ランサムウェア攻撃に関するお知らせとお詫び 2024/4/5

CRESS TECH株式会社
 

弊社は2024年3月29日「ランサムウェア攻撃に関するお知らせとお詫び(第2報)」を公表いたしましたが、本日時点の事業再開に向けた対策状況及び復旧状況についてお知らせいたします。

御取引先様をはじめ多くのご関係先にご迷惑とご心配をおかけしております事を深くお詫び申し上げます。

経 緯 

2024年3月23日

・弊社のサーバー内データへのアクセス障害を確認 

・社内システムの停止および外部ネットワークとの遮断を実施 

・サーバー内データの暗号化を確認 

・システムの運用・保守を委託しているベンダーへの調査協力を依頼

2024年3月25日

・警視庁サイバー犯罪相談窓口を通じ所轄警察署へ被害申告 

2024年3月26日

・ネットワーク機器(以降:UTM)設定・通信履歴確認・フォレンジック調査を専門会社へ依頼 

2024年3月27日

・個人情報保護委員会への相談・申告

2024年3月28日

・個人情報保護委員会への報告・報告受理 

・UTM設定・通信履歴の確認完了 

予定)

・フォレンジック調査結果検証 

調査結果

・外部専門会社による現状調査の結果、UTMの設定不備による脆弱性をついたランサムウェア攻撃であった可能性が高いことが確認されました。

・外部専門会社によるUTMの通信履歴確認結果においては、不正な外部への情報流出は確認されておりません。

対策状況

《実施済対策》

・UTMの代替品交換設置、OSバージョンおよびSSL VPN等の適正設定確認

・EDR導入を含めた防疫体制の確立

・自社運用のオンプレミスサーバーよりクラウド環境への移行

・外部専門会社を踏まえたIT環境の脆弱性、インシデント調査、診断のSOCサービス導入

《実施予定対策》

・情報セキュリティ規程の刷新と全従業員へリテラシー向上指導

復旧状況

以下の対応を済ませ、本日よりクラウドサーバー環境での全面的な事業再開を行っております。 

・被害を受けたサーバーおよび端末の当社ネットワークからの隔離

・感染の可能性を否定できない全端末の初期化、クリーンインストール

・新たなセキュリティ対策の導入(NGAV , EDR , SOC)

・全端末、データのウィルスチェック

その他

被害を受け隔離した機器においては引き続き詳細調査を進め、調査結果については完了後速やかに公表いたします。現時点では情報流出および二次被害等のデータ暗号化以外の被害は確認されておりません。セキュリティ対策については今般の事態を真摯に受け止めさらなる情報セキュリティの強化に努めてまいります。

リリース文アーカイブ

【2024/3/29リリース分】

リリース文アーカイブ

【2024/3/26リリース分】

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-132】富士ソフトサービスビューロ株式会社 個人情報の私的利用に関するお詫びとお知らせ 2024/3/29


この度、当社が郡山市から受託しました「郡山市マイナンバーカード交付等業務」におきまして、同業務に従事していた当社の社員(以下「本社員」といいます。)が市民の方 1 名の個人情報を私的に利用したことが判明いたしました。

関係する方々には多大なご迷惑とご心配をおかけすることとなりましたことを深くお詫び申し上げます。

当社としましては、今回の事態を重く受け止め、個人情報の取扱いに関する安全管理を改めて徹底し、再発防止に取り組んでまいります。

1. 概要

本社員が、2023 年 9 月下旬ごろに手続きのため来庁した市民の方 1 名に対し、自らの私的な目的のため氏名、生年月日、電話番号を筆記具にてメモした後、本社員の携帯電話に登録を行い、市民の方に連絡をする私的利用を行ったことが 2024 年 3 月 15 日に判明いたしました。

2. 私的利用を行った個人データの項目

氏名、生年月日、電話番号

3. 原因

本社員が来庁した市民の方に好意を持ち、後に会いたいという自らの私的な目的のため市民の方の個人情報を利用しようとしたことが原因です。

4. 対応状況

当社は、当該市民の方へ謝罪を行いました。

また、本社員を 3 月 25 日(月)付けで懲戒解雇とするとともに、本社員への告発手続きを進めております。

5. 再発防止策

当社は、今回の事態を重く受け止め、本件を社内で周知し、当社の全社員に対して個人情報保護の再教育を行うと共に、事務手順の見直し等の業務改善策を実施し再発防止に向けて取り組んでまいります。

Labels:

ランサムウェアギャングが発表した被害組織リスト(2024年3月)

 

2024年3月のランサムウェア被害を受けた日系企業のリスト。

Kumagai Gumi Group

組織名

株式会社 熊谷組

ランサムウエアギャング

alphv

関連事件簿

【セキュリティ事件簿#2024-002】株式会社熊谷組 当社サーバへの不正アクセスについてのご報告

tmt-mc.jp

組織名

TMTマシナリー株式会社

ランサムウエアギャング

lockbit3

関連事件簿

【セキュリティ事件簿#2024-117】TMTマシナリー株式会社 当社システムへの不正アクセス事案について 2024/3/26

Sysmex

組織名

シスメックス株式会社

ランサムウエアギャング

hunters

関連事件簿

なし

その他

Sysmex

Labels:

Kivaローンで社会貢献しながらマイルをゲットできるか検証(2024年4月号)※4か月目

 

1.融資済み案件の状況

全体としては160USDの投資に対して、28.91USDが返済されている感じ。

1件遅延が発生しているのが少し気になる。

融資No:2705613号(https://www.kiva.org/lend/2705613)

  • 融資国:フィリピン
  • Lending partner:Negros Women for Tomorrow Foundation
  • 期間:8か月
  • 融資実行:2024年1月
  • 融資額:30USD(≒4,727.5円)
  • 返済率:16%⇒32% ※滞納発生中

融資No:2707642号(https://www.kiva.org/lend/2707642)

  • 融資国:ニカラグア
  • Lending partner:FUNDENUSE
  • 期間:8か月
  • 融資実行:2024年1月
  • 融資額:30USD(≒4,727.5円)
  • 返済率:15%⇒30%

融資No:2716127号(https://www.kiva.org/lend/2716127)

  • 融資国:フィリピン
  • Lending partner:Negros Women for Tomorrow Foundation
  • 期間:8か月
  • 融資実行:2024年2月
  • 融資額:25USD(≒3,900.5円)
  • 返済率:0%⇒24%

融資No:2718123号(https://www.kiva.org/lend/2718123)

  • 融資国:ニカラグア
  • Lending partner:MiCredito
  • 期間:8か月
  • 融資実行:2024年2月
  • 融資額:25USD(≒3,900.5円)
  • 返済率:0%⇒16%

融資No:2737152号(https://www.kiva.org/lend/2737152)

  • 融資国:タジキスタン
  • Lending partner:Humo
  • 期間:8か月
  • 融資実行:2024年3月
  • 融資額:25USD(≒3,933円)
  • 返済率:0%

融資No:2731801号(https://www.kiva.org/lend/2731801)

  • 融資国:フィリピン
  • Lending partner:Negros Women for Tomorrow Foundation (NWTF)
  • 期間:8か月
  • 融資実行:2024年3月
  • 融資額:25USD(≒3,933円)
  • 返済率:0%

2.新規融資案件 

融資条件

  • LOAN LENGTH:8 mths or less

  • RISK RATING:4-5
    星0.5はその団体の機関債務不履行リスクが相対的に高いことを意味し、5つ星の格付けは、その団体の債務不履行リスクが相対的に低いことを意味します。

  • DEFAULT RATE:~1%
    返済に失敗した(もはや返済していない)終了ローンの割合。

  • PROFITABILITY:4%~
    フィールド・パートナーの収益性を示す指標。

今月の新規融資先

融資No:2751150号(https://www.kiva.org/lend/2751150)

  • 融資国:ニカラグア
  • Lending partner:MiCredito
  • 期間:8か月
  • 融資実行:2024年4月
  • 融資額:25USD(≒3952.5円)
  • 返済率:0%

融資No:2738778号(https://www.kiva.org/lend/2738778)

  • 融資国:パラグアイ
  • Lending partner:Fundación Paraguaya
  • 期間:8か月
  • 融資実行:2024年4月
  • 融資額:25USD(≒3952.5円)
  • 返済率:0%
Labels:

【セキュリティ事件簿#2024-131】東芝テック株式会社 不正アクセスによる個人情報漏えいのお知らせとおわび 2024/4/5

東芝テック株式会社
 

当社が利用しているクラウドサービスが外部からの不正アクセスを受け、お取引先様、当社及びグループ会社の従業員等の一部の個人情報が、外部者により不正に閲覧された、または閲覧されたおそれがあることが判明しました。現在、専門の調査会社及び弁護士を含め調査を進めておりますが、既に侵入経路を特定し、新たな攻撃が起きないよう対応しています。なお、現時点で個人情報の不正利用などの二次被害は確認されていません。

関係者の皆さまに多大なご迷惑とご心配をお掛けすることになり深くおわびいたします。

【漏えいのおそれのある個人情報】

お取引先様、当社及びグループ会社の従業員の一部(委託業務従事者を含む)の氏名、メールアドレス、会社名、部署名、役職名、メールその他の文書の内容

2024年3月20日、当社が利用しているクラウドサービスで不審な動作を認知後、個人情報保護委員会へ報告を行うとともに、専門の調査会社および弁護士に被害状況の調査協力を依頼しております。調査の結果、判明した被害状況を当社ウェブサイトで広報するとともに、個人情報が漏えいした、またそのおそれがある対象の方に対し、メール等でも個別に連絡いたします。

これらの個人情報を悪用した不審なメールを受け取られた場合は注意して対応していただくようお願いいたします。

今回の事態を重く受け止め、今後もセキュリティー対策の強化に取り組んでまいります。

リリース文アーカイブ

Labels:

2024年の匿名VPNサービス6選


匿名(ログなし)VPNをお探しですか?

今回は匿名性とセキュリティを優先するVPNサービスをピックアップしてみました。
  • NordVPN
  • Mullvad VPN
  • ExpressVPN
  • ProtonVPN
  • Surfshark
  • CyberGhost VPN
VPNプロバイダーが「ノー・ログ・ポリシー」を謳っている場合、それはユーザーのオンライン活動やデータを保存したり「ログ」したりしないことを意味します。これには、閲覧履歴、IPアドレス、ダウンロードしたファイルなど、個人を特定できるような機密情報も含まれます。

VPNは主にオンライントラフィックを保護するために使用され、ターゲット広告を回避したり、所在地を隠したり、個人データのセキュリティとプライバシーを確保するために、ユーザーを匿名化するのに役立ちます。

多くのVPNプロバイダーは、ノー・ログ・ポリシーを宣伝しているかもしれませんが、すべてのプロバイダーがその約束を守っているわけではありません。プロバイダーによっては、そのポリシーを確認するための独立したセキュリティ監査を行っておらず、すべてを信頼に委ねているところもあります。さらに悪いことに、一部のVPNプロバイダーは、ログを取らないと主張しているにもかかわらず、ログを取得しているところもあります。

今回は、匿名でのブラウジングを支援し、ログを取得していないことを証明する第三者機関による監査を実施しているVPNを紹介します。

NordVPN

NordVPN
NordVPNは、プライバシーとセキュリティに特化した幅広い機能を提供し、今日のトップVPNの1つとなっています。二重VPN機能、難読化されたサーバー、強力なAES-256暗号化、マルウェアや広告に対する保護を提供します。これは、直感的なアプリケーションと高速なインターネットパフォーマンスの上にあります。

セキュリティ監査について、NordVPNのノーログポリシーは2023年1月にDeloitteによって最後に確認されています。そのアーキテクチャとモバイルアプリのセキュリティもまた、2023年2月にCure53によって監査され、裏付けられています。

価格設定

NordVPNには3タイプがあります。Standard、Plus、Completeの3つのうち、Plusは機能と価格のバランスが最も優れています。VPN、マルウェア保護、データ漏洩スキャン、広告ブロックが含まれています。

NordVPN Plus 1ヶ月: 月額13.99ドル
NordVPN Plus 1年:月額5.49ドル。
NordVPN Plus 2年: 月額$4.79。

特徴

  • 61カ国に6,033のサーバー。
  • マルウェア、広告、トラッカーに対する脅威からの保護。
  • 最大6つの同時接続をサポート
  • ダークウェブ監視
  • 暗号化されたファイル共有機能

長所

  • セキュリティとプライバシーに特化したサーバー
  • 高速で高信頼性
  • 独立監査によるノーログポリシー
  • 直感的なデスクトップアプリケーション

短所

  • 無料版無し
  • 高額

Mullvad VPN

Mullvad VPN

Mullvad VPNは、匿名性とプライバシーを重視したサービスであるため、プライバシー保護に熱心なユーザーから長い間高い評価を得ており、その評判に恥じないサービスを提供しています。Mullvadはユニークで匿名性の高いアカウント番号システムを採用しており、アカウントを作成する際に個人のEメールを共有する必要がありません。

さらに、このVPNでは、ユーザーは現金または物理的なバウチャーでサービス料金を支払うことができます。これにより、ユーザーは通常のクレジットカードやPayPalでの支払いを避けることができ、機密性の高い支払い情報を渡す必要がなくなります。

また、2022年6月にAssured ABによってログを残さないポリシーが確認され、Radically Open Securityによる最新のインフラ監査が2023年8月に発表されたばかりです。

価格

月額5ユーロまたは5.49ドル(サブスクリプションの長さによるディスカウントは無し)。

特徴

  • 匿名のユーザーアカウント番号
  • 40カ国651サーバー
  • 分割トンネリング
  • キルスイッチ内蔵

長所

  • 独立監査によるログなしポリシー。
  • 手頃な月額利用料。
  • 満足なスピードとパフォーマンス。
  • 使いやすいデスクトップアプリ。
  • 現金またはバウチャーでの支払いが可能。

短所

  • サーバーネットワークが小さい
  • 長期契約は高額になる可能性がある。
  • 無料トライアルがない

ExpressVPN

ExpressVPN
サードパーティテストへの強いコミットメントを示しているVPNプロバイダーを探しているなら、ExpressVPNをチェックしてください。ExpressVPNは、VPNデスクトップアプリ、ブラウザ拡張機能、モバイル対応を含む製品群全体に対して、合計16の第三者機関による監査を受けています。これは、ExpressVPNがサービス全体のセキュリティの主張をテストすることを恐れていないことを示しています。幸いなことに、これらの監査は、大規模なサーバーネットワーク、よく設計されたユーザーインターフェイス、高速な全体的な速度を提供する非常に堅実なVPNサービスを補完しています。

ExpressVPNの直近の監査は2022年11月、Cure53によるLightwayプロトコルの監査でした。

価格

1ヶ月 月額$12.95
6ヶ月: 月額9.99ドル
1年間:月額6.67ドル

特徴

  • RAM専用サーバーテクノロジー
  • リモートとして動作するブラウザ拡張機能
  • 最大8台までの同時デバイス接続
  • 105カ国にサーバー設置

長所

  • 直感的で優れたデザインのアプリ・インターフェイス
  • 高速で高信頼性

短所

  • 他のVPNほどお手頃価格ではない
  • 2年または3年のサブスクリプションオプションがない。

ProtonVPN

政府の介入やデータ要求を心配するユーザーは、ProtonVPNを試してみるべきです。ProtonVPNは、世界で最も強力なプライバシー法の国であるスイスに拠点を置いているというユニークな利点があります。これは、当局が監視目的でVPNからユーザーデータを押収するかもしれないという懸念を軽減するのに役立ちます。

ProtonVPNはまた、オープンソースであり、そのコードは脆弱性やリスクを検査するために公開されていることを意味します。

プロトンVPNのログなしポリシーは、Securitumによる2023年4月のセキュリティ監査にも合格しています。

価格

ProtonVPNには無料版以外に2つの段階があります: PlusとUnlimitedです。PlusにはVPN本体が含まれ、UnlimitedにはProton Mail、Pass、DriveといったProtonの他のサービスが含まれます。

  • 無料
  • Proton VPN Plus1ヶ月: 月額9.99ドル
  • Proton VPN Plus1年:月額5.99ドル
  • Proton VPN Plus2年:月額4.99ドル。

特徴

  • 71カ国に3,097のサーバー。
  • 無料版あり。
  • 10 GBps対応のサーバー
  • 最大10同時接続をサポート

長所

  • 無料版でもデータ制限なし
  • 独立監査によるログなしポリシー。
  • オープンソース
  • プライバシーに配慮したスイスに本拠地を置く

短所

  • ライブチャットは有料ユーザーのみ利用可能。

Surfshark

Surfshark
Surfsharkは、非常に低コストで安全なVPNソリューションを提供します。Surfsharkの1年プランと2年プランは、市場で最も手頃な価格の一部です。また、すべてのSurfsharkプランでデバイス接続が無制限になり、追加コストなしで複数のデバイスを保護できます。

Surfsharkのログなしポリシーは、2023年1月にDeloitteによって確認されました。直近の監査は2023年12月に行われ、SurfsharkのAndroidモバイルアプリは独立機関によるモバイルアプリセキュリティ評価(MASA)に合格しました。

価格設定

Surfsharkには3つのランク(Starter、One、One+)があり、Surfshark Oneをお勧めします。Surfshark Oneは、ウイルス対策、侵害アラート、データセキュリティレポートなど、Starterにはない機能を失うことなく、低料金で提供しています。

Surfshark One 1ヶ月: 月額14.99ドル
Surfshark One 1年:月額4.09ドル
Surfshark One 2年:月額2.69ドル。

特徴

  • 100カ国、3,200以上のサーバー。
  • 24時間365日のライブサポートとガイド
  • 無制限のデバイス接続
  • RAM専用サーバー
  • ウイルス対策とデータ漏洩監視
  • マルチホップ

長所

  • 手頃な価格設定
  • 直感的なユーザーインターフェース
  • 速いスピードとパフォーマンス。
  • 1つのアカウントで複数のデバイスを保護できる

短所

  • 無料版がない
  • Windowsの無料トライアルがない
  • 月額サブスクリプションは割高。
  • バグが多い。

CyberGhost VPN

数多くのロケーションに広がる大規模なサーバーネットワークをお探しの方は、CyberGhost VPNをご検討ください。現在、100カ国、126の場所に11,529のサーバーがあり、ユーザーは多くの地域から柔軟に自分の場所を隠すことができます。CyberGhostはまた、最適化されたトレントサーバーを通じて、安全かつ匿名でトレントサイトにアクセスすることができます。

CyberGhost VPNは、2022年9月にDeloitteによって確認された強力なノーログポリシーを持っています。CyberGhost VPNはまた、法的機関や企業所有者から受けたデータ要求の数に関する情報を含む透明性レポートを毎年定期的に発行しています。これは2011年から行っているもので、VPNプロバイダーの透明性を示すものとして称賛に値する。

価格

1ヶ月 月額12.99ドル
6ヶ月 6.99ドル/月
2年間:月額$2.03

特徴

  • 100ヶ国、126ヶ所に11,529台のサーバーを設置。
  • 匿名トレント用に特化したサーバー。
  • 毎年定期的に発行される透明性レポート。
  • RAM専用サーバー
  • カスタマイズ可能なスマートルールパネル
  • 最大7つの同時接続をサポート

長所

  • クレジットカード不要の24時間無料トライアル。
  • 手頃な価格の2年プラン
  • 45日間の返金保証
  • 独立監査によるログなしポリシー
  • ゲームとストリーミングに特化したサーバー。
  • 広範なサーバーとロケーションネットワーク

短所

  • 年間プランがない
  • 月額プランは14日間の返金保証のみ。

虚偽の説明でログを取得していたVPNサービス

VPNプロバイダーの中には、ログを記録しないと宣伝しているにもかかわらず、データを記録していたり、その主張と矛盾するプライバシーポリシーを持っていたことが判明したプロバイダーがいくつかあります。これらのVPNのいくつかは、その後所有者が変わったり、関連する変更を実施していますが、これらの事件には注意する必要があります。

  • IPVanish VPN: 2016年、IPVanishは児童ポルノの容疑者を追跡するために米国国土安全保障省にユーザーログを提供したと報じられました。当初ログはないと主張していましたが、実はログが存在しデータを当局に渡したことが報告されました。

  • Hotspot Shield VPN: 2017年、Center for Democracy and TechnologyはHotspot Shieldが無料版で収集した機密ユーザーデータを販売していると非難しました。

  • ノートン・セキュアVPN: ノーログポリシーを掲げているが、ノートンのグローバルプライバシーステートメントを見ると、ユーザーが望む以上のデータを収集していることがわかる。その例としては、ユーザーのデバイス名、IPアドレス、クッキー内のセッション、URLなどが挙げられる。

  • Speedify VPN: Speedifyのプライバシーポリシーには、ログを残さないというポリシーがあるにもかかわらず、SpeedifyのウェブサイトにアクセスしたユーザーのIPアドレス、ブラウザの種類、アクセスしたページを保存することが明記されています。
Labels:
登録: 投稿 (Atom)