13 KiB
meta_title, title, icon, description
| meta_title | title | icon | description |
|---|---|---|---|
| VPNはどのようにプライバシーを保護するのか? VPNの概要 - Privacy Guides | VPNの概要 | material/vpn | バーチャルプライベートネットワークはISPから信頼する第三者へリスクを移行します。 このことに留意してください。 |
バーチャルプライベートネットワークはネットワークの末端を世界のどこか別の場所に拡張する方法です。
:material-movie-open-play-outline: 動画:VPNは必要か?{.md-button}
通常、ISPはネットワーク終端装置(モデムなど)に出入りするインターネットトラフィックの流れを見ることができます。 HTTPSのような暗号化プロトコルはインターネット上で一般的に使われているため、ISPは投稿や閲覧内容を正確に見ることはできませんが、要求するドメインは見ることができます。
VPNにより、このような情報もISPから隠すことができ、ネットワークへの信頼を世界のどこかのサーバーに移行することになります。 その結果、ISPはVPNに接続しているということだけがわかり、VPN経由でのアクティビティについては分かりません。
メモ
Privacy Guidesでは「VPN」は商用のVPNプロバイダーのことを指します。インターネットトラフィックをVPNプロバイダーのパブリックサーバー経由で安全にルーティングしてもらい、月額料金を支払います。 VPNにはセルフホスティングしたり職場が運用するなど、内部や従業員のネットワークリソースに安全に接続できるようにするものもあります。このようなVPNはインターネット接続のプライバシーを保護するというよりも、リモートネットワークに安全にアクセスすることが目的です。
VPNの仕組み
VPNは、あなたのデバイスとVPNプロバイダーが所有するサーバー間のトラフィックを暗号化します。 あなたとVPNサーバーの間にいる人から見ると、あなたがVPNサーバーにアクセスしているように見えます。 VPNサーバーと目的のサイトにいる人から見ると、VPNサーバーがそのウェブサイトにアクセスしているようにしか見えません。
flowchart LR
763931["デバイス<div>(VPNクライアントあり)</div>"] ===|"VPN暗号化"| 404512{"VPNサーバー"}
404512 -.-|"VPN暗号化なし"| 593753(("インターネット<div>(目的のサイト)</div>"))
subgraph 763931["デバイス<div>(VPNクライアントあり)</div>"]
end
VPNはVPNサーバーとインターネット上の目的のサイト間のトラフィックに対し、セキュリティを強化せず、暗号化しないことに注意してください。 ウェブサイトに安全にアクセスするには、VPNの使用にかかわらず、HTTPSが使われていることを確認する必要があります。
VPNを使うべきですか?
ほぼ確実にそうすべきです。 VPNには、次のような多くの利点があります。
- インターネットサービスプロバイダのみからトラフィックを隠します。
- ISPや海賊版対策組織からダウンロード(トレントなど)を隠す。
- 第三者のウェブサイトやサービスからIPを隠す。 混ぜ合わせることで、IPベースのトラッキングを防ぎます。
- 特定のコンテンツの地理的制限の解除が行える。
VPNは地理的にネットワークトラフィックを移動させるなどTorと同じような利点もあります。また、特に司法管轄外のVPNプロバイダーを選んだ場合、優れたVPNプロバイダーは例えば抑圧的な政権の司法当局に協力しないでしょう。
VPNはデバイスとVPNサーバー間以外の接続は暗号化できません。 ISPが行っているようにVPNプロバイダーはトラフィックを見たり変更したりできるため、VPNプロバイダーを信頼していることに変わりありません。 また、VPNプロバイダーの「ノーログ」ポリシーを確認する方法は一切ありません。
VPNが適していない場合
現実の生活のIDやよく知られているIDをオンライン上で使う際にVPNを使うケースではあまり役に立ちません。 そうした場合、銀行のウェブサイトにログインするときなどは、スパム検知や不正検出システムが作動する可能性があります。
VPNによって完全な匿名性は得られないことを覚えておくことが重要です。なぜならVPNプロバイダーはあなたの実際のIPアドレスや訪問先のウェブサイトの情報を持っていますし、直接結びつけることができるお金の流れも知っています。 「ノーログ」ポリシーは単なる約束に過ぎません。もしネットワーク自体からの完全な安全性が必要な場合は、VPNに加え、もしくは代わりにTorを使うことを検討してください。
また、暗号化されていないHTTPへの接続を保護する目的でVPNを信頼してはいけません。 訪問するウェブサイトで実際に行うことをプライベートかつ安全に保つにはHTTPSを使用する必要があります。 VPNプロバイダーやVPNサーバーと目的のサイトの間にいる潜在的な敵対者からパスワード、セッショントークンやクエリーを安全に守ることができます。 対応している場合、ブラウザのHTTPS-Onlyモードを有効にすることで、接続をHTTPSからHTTPにダウングレードしようとする攻撃を緩和できます。
VPNで暗号化DNSを使うべきでしょうか?
VPNプロバイダーが暗号化DNSサーバーをホストしていない限り、おそらく使わないほうがよいでしょう。 第三者のサーバーのDOH/DOT(やその他の暗号化DNS)を使うことは単に信頼する対象が増えるだけです。 VPNプロバイダーはIPアドレスやその他の方法で訪問したウェブサイトを確認できます。 それでもECHのようなブラウザのセキュリティ機能を有効にするために暗号化DNSを使うという利点はあるかもしれません。 暗号化DNSに依存するブラウザーの技術は比較的新しくまだ普及していません。関係するかどうかは自分自身で調査してください。
暗号化DNSが推奨されるもう一つのよくある理由はDNSスプーフィングを防ぐことです。 しかし、ブラウザは既にHTTPSでTLS証明書を確認し、警告しているはずです。 HTTPSを使用していない場合、敵対者はDNSクエリ以外を変更することだけしかできず、結果はほとんど変わりません。
Should I use Tor and a VPN?
Maybe, Tor is not necessarily suitable for everybody in the first place. Consider your threat model, because if your adversary is not capable of extracting information from your VPN provider, using a VPN alone may provide enough protection.
If you do use Tor then you are probably best off connecting to the Tor network via a commercial VPN provider. However, this is a complex subject which we've written more about on our Tor overview page.
Should I access Tor through VPN providers that provide "Tor nodes"?
You should not use that feature: The primary advantage of using Tor is that you do not trust your VPN provider, which is negated when you use Tor nodes hosted by your VPN instead of connecting directly to Tor from your computer.
現在、TorはTCPプロトコルのみをサポートしています。 UDP (used by WebRTC, HTTP3/QUIC, and other protocols), ICMP, and other packets will be dropped. To compensate for this, VPN providers typically will route all non-TCP packets through their VPN server (your first hop). This is the case with ProtonVPN. Additionally, when using this Tor over VPN setup, you do not have control over other important Tor features such as Isolated Destination Address (using a different Tor circuit for every domain you visit).
The feature should be viewed as a convenient way to access hidden services on Tor, not to stay anonymous. For proper anonymity, use the actual Tor Browser.
Commercial VPN Ownership
Most VPN services are owned by the same few companies. These shady companies run lots of smaller VPN services to create the illusion that you have more choice than you actually do and to maximize profit. Typically, these providers that feed into their shell company have terrible privacy policies and shouldn't be trusted with your internet traffic. You should be very strict about which provider you decide to use.
You should also be wary that many VPN review sites are merely advertising vehicles open to the highest bidder. ==Privacy Guides does not make money from recommending external products, and never uses affiliate programs.==
推奨されるVPN{.md-button}
Modern VPN Alternatives
Recently, some attempts have been made by various organizations to address some issues which centralized VPNs have. These technologies are relatively new, but worth keeping an eye on as the field develops.
Multi-Party Relays
Multi-Party Relays (MPRs) use multiple nodes owned by different parties, such that no individual party knows both who you are and what you're connecting to. This is the basic idea behind Tor, but now there are some paid services that try to emulate this model.
MPRs seek to solve a problem inherent to VPNs: the fact that you must trust them completely. They accomplish this goal by segmenting the responsibilities between two or more different companies.
One example of a commercially available MPR is Apple's iCloud+ Private Relay, which routes your traffic through two servers:
-
Firstly, a server operated by Apple.
This server is able to see your device's IP when you connect to it, and has knowledge of your payment information and Apple ID tied to your iCloud subscription. However, it is unable to see what website you are connecting to.
-
Secondly, a server operated by a partner CDN, such as Cloudflare or Fastly.
This server actually makes the connection to your destination website, but has no knowledge of your device. The only IP address it knows about is Apple's server's.
Other MPRs run by different companies operate in a very similar manner. This protection by segmentation only exists if you trust the two companies to not collude with each other to deanonymize you.
分散型VPN
Another attempt at solving the issues with centralized VPN services are dVPNs. These are based on blockchain technology and claim to eliminate trust in a single party by distributing the nodes across lots of different people. However, many times a dVPN will default to a single node, meaning you need to trust that node completely, just like a traditional VPN. Unlike a traditional VPN, this one node that can see all your traffic is a random person instead of your VPN provider that can be audited and has legal responsibilities to uphold their privacy policy. Multi-hop is needed to solve this, but that comes with a stability and performance cost.
Another consideration is legal liability. The exit node will need to deal with legal problems from misuse of the network, an issue that the Tor network has contended with for its entire existence. This discourages regular people from running nodes and makes it more attractive for a malicious actor with lots of resources to host one. This is a big problem if the service is single-node, as the potentially malicious exit node can see who you are and what you're connecting to.
Many dVPNs are used to push a cryptocurrency rather than to make the best service. They also tend to be smaller networks with fewer nodes, making them more vulnerable to Sybil attacks.