ESETは7月20日(米国時間)、運営するセキュリティ情報のポータルサイト「WeLiveSecurity」「7 VPN services leaked data of over 20 million users, says report|WeLiveSecurity」において、7つのVPNサービスから合計1.2TBのユーザーデータが漏洩しているという研究機関による調査結果を伝えた。これらのデータには、潜在的に2000万人以上の個人識別情報が含まれているという。

7 VPN services leaked data of over 20 million users, says report | WeLiveSecurity

このレポートはvpnMentorの研究チームによる調査結果をまとめたもので、もとになった調査結果の全文は以下のWebページで読むことができる。

Report: No-Log VPNs Exposed Users’ Logs and Personal Details for All to See

対象となったVPNサービスは、UFO VPN、FAST VPN、FREE VPN、SUPER VPN、Flash VPN、Secure VPN、およびRabbit VPNの7つ。いずれも香港を拠点としているサービスだが、実際には同じ開発者および事業者によって運営されている可能性が高いという。サービス事業者はユーザーに対して、オンラインアクティビティのログを保持しないと宣言していたが、実際にはアクセスログを含むさまざまな情報がデータベースに保存されていた。

研究チームがUFO VPNを調査したところ、データベースには発信元のIPアドレスやISP事業者、実際の場所、メールアドレス、デバイスのモデルや種類、ユーザーのネットワーク接続情報、接続先のIPアドレスといった情報が記録されていたとのこと。中には、ビットコインの支払い情報やPaypal APIへのリンクが含まれているケースもあったという。

これらの情報が悪意を持った人物に利用された場合、ユーザーはフィッシングキャンペーンの標的にされたり、詐欺や恐喝の被害を受けたりする可能性がある。問題のサーバは7月15日に閉鎖されたとのことだが、ESETではこれら7つのVPNサービスのユーザーに対して、すぐに他のVPNサービスに切り替えた上で、利用中のオンラインサービスのログイン情報を変更するように呼びかけている。また、VPNプロバイダーの選択は慎重に行うようにという警鐘も鳴らしている。