なぜVPNにあなたのメールは必要ないのか
ほとんどの VPN 製品の中心には、静かな矛盾があります。あなたは、利用する ウェブサイトやネットワークから自分の IP アドレスを隠すために登録します。 その前に、プロバイダーはあなたのメールを求めます。次にカード上のあなたの 名前。次に請求先住所。あなたの登録は自宅の IP から行われるので、彼らは それも手にします。アプリのインストールが終わるころには、あなたが プライバシーを守るために料金を払っている会社が、あなたが隠れようとしていた ほとんどのサイトよりも、あなたについて多くを知っているのです。
匿名VPN — あなたが誰かを本当に知らないもの — は、まれな例外ではなく、既定のモデルであるべきです。この記事は、 なぜその矛盾が存在するのか、現実的な代替手段がどんなものか、そして iPhone 上で App Store を通じて登録することが、業界が十五年にわたって 回避策を講じてきた問題を、いかにひそかに解決するのかについてです。
入口にある矛盾
トラフィックのノーログ・ポリシーは、ほとんどのプライバシー重視の VPN の 目玉機能です。それは、あなたがどのサイトを訪れたか、何をダウンロードしたか、 どの IP に接続したかの記録を、プロバイダーが保持しないことを意味します。 それが約束です。
その約束がしばしば見落とすのが、二つ目のデータベース — あなたのアカウントが入っているもの — です。あなたのメール、保存された カード上のあなたの名前、登録してきた IP、ログインしてくる IP、サポートの チケット、更新の履歴。そのどれも「トラフィック」ではありません。 そのすべてが正体です。そして、あなたが名前を挙げられるほぼすべての VPN が それを保持しています。
ですから、本当の問いは「この VPN は私のトラフィックをログに取るのか」では ありません。問いは「この VPN は私について何を知っているのか、要するに」 です。トラフィックの側面とアカウントの側面は二つの異なる問題であり、 VPN のプライバシーについてのほぼすべての会話は、最初の一つしかカバーして いません。
VPN業界で見かけるアカウントのモデル
一歩引いてみると、実際にはほんの一握りのパターンしかありません。 どのプロバイダーがどれを使っているかを見分けられるように、それぞれを 名指ししておく価値があります。
メールとパスワード
典型的な SaaS の登録です。メールを渡し、パスワードを設定し、リンク経由で 確認します。プロバイダーは今や、あなたの恒久的な識別子と、いつどこから 登録したかの記録を持っています。これは支配的なモデルであり、群を抜いて 最もさらされています。
メールに加えて決済処理業者
上記と同じで、Stripe などを通じてカードが保存で加わります。処理業者が カードの詳細を扱いますが、VPN は依然としてあなたのメール、カード上の あなたの名前、請求の記録を持っています。返金と更新には、メールが存在する ことが必要です。
マジックリンクまたはワンタイムコード
「パスワード不要」として、時には「プライバシーに優しい」として宣伝 されます。プライバシー上意味のあるどんな意味でも、そうではありません。 プロバイダーは依然としてあなたのメールを持っており、ただそのための パスワードを覚えるよう求めないだけです。
あなたのApple IDを通じたApp Storeのサブスクリプション
これは、ほとんどの iPhone ユーザーが詳しく見ることのないモデルです。 登録をタップし、Face ID で確認すると、取引は Apple を通じて行われます。 開発者は、あなたのメール、カード、名前を見ません。彼らが受け取るのは、 サブスクリプションが有効であることを確認する、Apple からの署名付きの レシートです。これにはあとで戻ってきます。
アカウントなしの暗号通貨
最大主義の選択肢です。Monero などで支払い、トークンや資格情報を受け取り、 プロバイダーには何も渡しません。原理的には本当に匿名ですが、運用上は 骨が折れます。簡単な更新、簡単な返金、簡単なデバイスの移行を失い、 資格情報を自分で管理する負担を負います。ほとんどのユーザーにとっては、 たとえ結果を気にかけていても、これは現実的な選択肢ではありません。
本人確認に結びついたVPNアカウントのリスク
アカウント側のデータを「まあ、彼らは私のメールを持っているけど、だから 何だ」と片付けるのは簡単です。その「だから何だ」は、かなり早く具体的に なります。
召喚状と法的請求の被害範囲
トラフィック側のノーログ・ポリシーは本当に有用ですが、アカウントの データには及びません。裁判所がプロバイダーに、ある特定のメールや請求上の 身元について持っているものを引き渡すよう命じれば、彼らは従わなければ なりません。プロバイダーは「私たちはトラフィックログを保持しないので、 何もありません」とは言えません — アカウントの記録、登録時の IP、サポートの チケット、更新の履歴を引き渡すことになります。
その記録だけで、特定の人物が特定の期間に顧客であったことを確認するには 十分なことがよくあります。管轄と請求の内容によっては、トラフィックの データが一切付随していなくても、それは意味のある開示です。
データ侵害による流出
アカウントのデータベースは漏れます。大手の VPN プロバイダー、パスワード マネージャー、そしてその間のあらゆるところで漏れてきました。CRM や認証の データベースが侵害されると、その漏えいはあなたのメールを暴くだけでは ありません — そのメールのあなたが、ある VPN の顧客だったという事実を暴く のです。それは小さなことではありません。ある場所のあるユーザーにとっては、 その一つの事実こそが機微な部分です。
漏えいをまたいだ相互の突き合わせ
より深い問題は、どんな侵害も単独では起こらないということです。あなたの VPN アカウントのメールは、あなたの買い物のメールでもあり、フォーラムの メールでもあり、そしておそらく仕事に関連するメールでもあります。いくつか データベースが漏れると、同じメールがそれらすべてに現れ始め、その残骸から プロフィールが組み上がっていきます。アカウントについて最もプライベートな ことは、しばしばそもそもアカウントを持たないことです。
プロバイダーが「ノーログ」と言うときに実際に何を意味しているのかについては、 ノーログVPNが本当に意味することについての記事をご覧ください。また、どの VPN の主張が精査に耐えるのかの より大きな全体像については、 よくあるVPNの誤解についての手引きをご覧ください。
Apple IDのサブスクリプションが正体を開発者から切り離す仕組み
App Store のサブスクリプションのモデルは、SaaS のアカウントのモデルとは 構造的に大きく異なります。そして、それが匿名 VPN にとってなぜ重要なのかを 理解しておく価値があります。
App Store を通じてアプリのサブスクリプションを契約するとき、あなたは 開発者とではなく Apple と取引をしています。Apple があなたの支払い方法、 Apple ID、請求先住所、サブスクリプションの履歴を保持します。開発者 — この場合は VPN プロバイダー — は、その壁の向こう側に座っています。
あなたが契約したとき、開発者が実際に受け取るのは、署名付きのレシートです。 Apple の StoreKit フレームワークが暗号的な取引のオブジェクトをアプリに 渡し、開発者のサーバーがその取引を Apple のサーバーに照らして検証します。 検証は、重要な一つの情報を返してきます。はい、このサブスクリプションは 有効です、そして、はい、それはこの匿名の識別子に属しています。メールは なし。名前はなし。カードはなし。住所はなし。
解約するなら、Apple を通じて解約します。返金がほしいなら、Apple に頼みます。 カードの有効期限が切れたら、Apple ID の設定で更新します — 開発者は新しい カードも、古いカードも、何かが変わったことさえ決して見ません。更新に ついても同じことが言えます。
ユーザーにとって、これは普通のサブスクリプションの流れに見えます。 構造的には、きれいな分離です。Apple が正体とお金を扱い、開発者が製品を 扱います。そして開発者側に登録のフォームがないため、開発者側に アカウントのデータベースがありません。侵害で漏れるはずのものが、漏れる ために存在しないのです。
これはプライバシーの小細工ではありません。すべての App Store の サブスクリプションが動く仕組みそのものです。それを使うほとんどのアプリは、 それでプライバシーの物語を語ることがありません。なぜなら、「アカウントを 作る」ために、アプリの中で別途あなたのメールを求めるからです。VPN は それをする必要がなく、それでもほとんどが習慣でそうしているのです。
Snap VPNはこれをどう扱うか
Snap は、App Store の流れで十分だという前提のうえに作られています。 最初の起動時に登録のフォームはありません。どこにもメールの欄はありません。 接続できるようになる前に「アカウントを作る」段階はありません。
アプリをインストールし、登録をタップし、Face ID で確認します。Snap 側に 届くのは、検証済みのレシートと匿名の識別子です。レシートはあなたが契約 していると告げます。識別子は、このデバイス上であなたが契約していることを アプリが覚えておくことを可能にします。どちらにも、あなたのメール、名前、 支払い情報は含まれていません。なぜなら、Snap のサーバーはそれらを受け取ら ないからです — Apple が受け取ります。
現実世界の身元に結びついたユーザー識別子は、私たちの側には一切保存 されません。あなたが Snap に寄せる信頼は運用上のもの(ネットワーク、 サーバー、プロトコル)であって、あらゆるメールとパスワードのアカウントに 付いてくる「あなたの正体を私たちが保持します、どうか私たちを信頼して ください」という種類の信頼ではありません。
実際的に言えば、もし誰かが Snap に「このメールアドレスの人物について 持っているすべてのデータ」を求めても、提出すべき記録はないでしょう。 なぜなら、保存されているメールアドレスがないからです。これは マーケティングの主張ではなく、登録のフォームを作らなかったことの結果です。
これをデバイスそのものでさらに進めたいなら、私たちの iPhoneプライバシー・チェックリスト が、匿名 VPN とあわせて有効にする価値のある設定をカバーしています。
正直な限界
このモデルが何をしないのかを名指ししないまま記事をここで終えるのは、 誤解を招くでしょう。Apple ID のうえに作られた匿名 VPN は、信頼への 依存がゼロの VPN と同じものではありません。
あなたは依然として Apple を信頼します。Apple は、あなたが契約したことを 知っています。もしそれを気にかけるなら — もしあなたの脅威モデルに Apple そのものが含まれるなら — App Store のサブスクリプションのモデルは適さず、 アカウントなしの暗号通貨という道だけが正直な答えです。ほとんどの ユーザーにとって、その取引は妥当です。Apple は既知の存在であり、関係は すでにそこにあり、データはあなたがすでに身を置いているエコシステムの中に 収まっています。
あなたは依然として、VPN プロバイダーがネットワークを正直に運用することを 信頼します。どんなアカウントのモデルもそれを解決しません。あなたのメールを 持たないプロバイダーでも、サーバーの構成を誤ったり、ログに取らないと 主張した接続をログに取ったり、売るべきでない集計データを売ったりする ことはありえます。アカウントのモデルは、侵害が暴きうるものを減らすこと についてであって、運用者を信頼する必要をまったく取り除くことについてでは ありません。
それが変えるのは、被害範囲の大きさです。もし Snap のサーバーが明日侵害 されても、攻撃者は、実在する身元に結びついたメールのリスト、名前のリスト、 カード番号、請求先住所、サポートのチケットのアーカイブを何も見つけません。 VPN の侵害で通常漏れるもの — アカウントのデータベース — が存在しません。 収集されたものが少ないため、侵害できるものが少ないのです。
それが要点です。設計による匿名とは、機微なものが「保護されている」とか 「保存時に暗号化されている」とか、要するに「私たちはそれを持っているが、 注意深く扱っている」を意味するその他のどんな言い回しでもなく、機微なものが そもそもそこにないようにシステムを設計することを意味します。
まとめ
あなたのメールを求める VPN の矛盾は本物であり、業界はそれを解決する のではなく、ほとんど回避してきました。その解決策は、目新しい暗号でも、 新しいノーログの監査でもありません。そもそもアカウントのデータベースを 作らないことです。App Store のサブスクリプションのモデルは、これを iPhone 上で、ユーザーには見えず、開発者にとっては構造的にきれいな形で 可能にします。アカウントの側面が、トラフィックの側面と同じくらい真剣に 受け止められたとき、匿名 VPN はこういう姿になります。
VPN を選んでいて、最初に求められるものがあなたのメールであれば、それは、 その製品の残りがあなたのデータについてどう考えるかについての、もっともな シグナルです。よりよい既定の設定は存在します。
結び
あなたのメールを知らない VPN が、正しい既定のように聞こえるなら — 実際にそうだからですが — Snap は最初のタップからそのように作られています。 登録なし。フォームなし。保存された正体なし。ただアプリと、あなたの Apple ID に結びついたサブスクリプションと、あなたが使えるネットワークが あるだけです。