Protonメールを過信して逮捕された匿名ニキたちから学ぶこと

さきに言っておきます。Proton信者ニキとバチバチやり合う気はないですが、電話でならいつでも語り合います。

次の２つが主題の記事です。

・犯罪を前提とした匿名ではProtonサービスを過信してはいけない
・Protonの捜査機関に対する動きからどうすべきか学びを得る

この記事ではマーケティングやスパム関連や不正ｶﾞﾎﾟｶﾞﾎﾟ系のことは特に書かないです。(((国内で迷惑メールいっぱい送りたいならauのSIMあると楽ちんですよっとだけ言っておく

結論

・匿名を勝ち取りたいなら貴方の情報を与えたProtonサービスを使って攻撃をしないでください。

・スイスの令状に強制された場合にProtonはユーザーから与えられた情報は全て捜査当局に提出すると思うべし。

使うなって言ってんじゃないの。脳筋でやるなって言ってんの。

Proton利用時に逮捕されるおそれについて

先に記事リンクを置いておく。

・FBIが北朝鮮のハッカーへの捜査過程でProtonのやったこと
404media - https://archive.is/L4YET

・スペイン逮捕の件
①：https://cyberinsider.com/protonmail-discloses-user-data-leading-to-arrest-in-spain/
②：https://www.vilaweb.cat/noticies/tsunami-democratic-xuxo-rondinaire-mossos/

・RAMのみのVPNサーバーを使用しない理由：https://protonvpn.com/blog/ram-only-servers?srsltid=AfmBOopoJdcGCSFDmA2az51pWlA-97kKu-j-NdgAcUolrR8HQPA2XRtA

記事から抜粋したこの画像の一文などが重要なポイントとなる。

ここにリンクは載ってないが、そもそもProton自らが「ウチはプライバシー重視であって匿名サービスはやってないっす」って感じで公式サイトに書いてある。

上記とフランスの逮捕事件も含め要点は、

・下手打ちニキは「回復メール」を設定していたのと同時に、その回復メールには生IPで接続していたり個人情報を登録などしていた。
・ProtonはIPアドレスとアカウント情報は暗号化せずに保管していて命令があれば小細工なしで速攻で提出する。

また、多くのVPN会社がRAMのみのディスクレスサーバーを採用する中でProtonはProton自体を正当化する主張をしている。
(((アホかって主張
さらに、今はどうか知らないがかつてのAWSやさくらやXserverやその他の会社のように、捜査当局が来たら空っぽのHDDを渡すとか電源オフってメモリ上のログを消しちゃうとか、そういうことをProtonはする気がない、と行間から読み取れる。

ついでに言っておくとProtonVPNには、WebRTCリークブロックとトラッカーブロックはない。TCPポート443のサポートもない。

歴史から学ぶこと

Protonを使ってはダメだと、悪い印象を抱いているのならそれは違う。Protonの特質を把握したり基本的な匿名リテラシーが不足しているユーザーのほうが問題なのだ。

メールにはメールヘッダーというのがありメタデータが含まれている。
Nymの記事：メタデータとは？入門編
Cloudflareの記事：メールの暗号化とは？

Protonだけでなく他のメールサービスも含めIPやIDの暗号化はされずに保管される。だって誰が誰だかわかんなくなっちゃうから。

初歩的かつ基本的な事として最低限これらは押さえておこう。

• 生IPで接続せずに常にVPNやTorを使用してサービスを利用する

• ブラウザから利用する

• 回復メールや電話番号の登録をしない

• 設定からプライバシーとデータ収集はオフにする

• 送信時に添付ファイルがあるならメタデータを削除しておく

• HTML形式は無効にしてテキスト形式で受信する

• パスワードの使い回しをしない

• ユーザーID(＠より前)の使い回しもしない

• 簡易的だったり幼稚なIDやパスワードにしない

• 全ての最初からVPNを使うこと
  メールの受信や開封する時もVPN使うこと

• 捨てアドのレパートリーを増やすこと

VPNや銀行口座などの金融サービスや決済アプリまたはクラウドサービスなども同様に注意が必要である。

Torブラウザから匿名メールで爆破予告したのにFBIに捕まったハーバード大学ニキのご尊顔はこちら → https://www.wnycstudios.org/podcasts/otm/articles/harvard-bomb-threat

結局どうすっか

捨てアド

メルアドぽいぽいやsute.jpだけじゃない。
https://spammable.com/
https://maildrop.cc/
https://burnermail.io/
https://temp-mail.org/
https://www.guerrillamail.com/
https://burnermailbox.com/
あげればキリがないほど世界中にいっぱいある。

無難どころ

政府の手にメールが渡らないようにするには、スイス、ドイツ、ベルギー、ノルウェー、スウェーデンを拠点とするメールサービスを利用するのが賢明と言われている。

1. Mailbox.org

2. StartMail

3. ProtonMail

4. Tuta

5. Risoot

このあたりだろうか。他には。

• CounterMail

• Hushmail

• Zoho Mail - SMS認証あり

• Mailfence

• Posteo

• Runbox

• Kolab Now

• GMX

• hey

こんな感じかな。
※有料/無料、トライアル有無、アカウント作成時にメアドまたはSMS認証の有無、これらは省いて書いている→気が向いたら整理しておく。

列挙しておいて言うのはなんだが、私はこれら全てを使ってないし使わない。当然ながら 裏稼業人 匿名ヲタとしてはGmail,Outlook,Yahoo,iCloudも普段使いはしない。※プライベートや会社としては使ってる
あんねん他にもいいやつ(´＾ω＾｀)ﾆﾁｬｧ(((ただではおしえまてん

Surfshark

SurfsharkにはAlternative IDという製品があって、その中にAlt emailというサービスがあり、メールアドレスが量産できる。
＠より後ろのドメインは１０種類から選べる。＠より前は自分で決められる。
Alt emailで作成したメールアドレスにメッセージを受信をするとSurfsharkに登録したメールアドレスに転送される仕組みだ。※送信はできない
登録するメアドは変更も可能。
これはSurfsharkユーザーは追加料金なしで利用できるサービスとなっている。
これから新規契約するならSurfshark OneプランにすればSurfshark Searchという検索エンジンも使えるようになる。

手順

私はその辺のお宅のWiFiを 乗っ取っ 拝借してから環境構築を始めるのだが、いっちねんせいや満期出所勢などは次のようにしてみたら良いと思う。

「父がよく言っていた。“お前を邪魔する奴が現れるだろう。しかし、そいつらに煩わされる必要はない”とね。」

1000文字くらい書いてて途中で主旨からずれていることに気づいたので別記事にする。

とにかくコレらは押さえておこう。

• 生IPで接続せずに常にVPNやTorを使用してサービスを利用する

• ブラウザから利用する

• 回復メールや電話番号の登録をしない

• 設定からプライバシーとデータ収集はオフにする

• 送信時に添付ファイルがあるならメタデータを削除しておく

• HTML形式は無効にしてテキスト形式で受信する

• パスワードの使い回しをしない

• ユーザーID(＠より前)の使い回しもしない

• 簡易的だったり幼稚なIDやパスワードにしない

• 全ての最初からVPNを使うこと
  メールの受信や開封する時もVPNを使うこと

• 捨てアドのレパートリーを増やすこと

• そもそもメールの仕組みを少しでも知ること