- Bluesky ページを見る (新しいタブで開きます)
- Instagramページを見る(新しいタブで開きます)
- Facebookページで見る(新しいタブで開きます)
- YouTubeページを見る(新しいタブで開きます)
- Twitterページを見る(新しいタブで開きます)
- コピーしました
目次
VPNはセキュリティ対策に非常に効果的ですが、多くの人がVPNを使用する大きな理由の一つは、IPアドレスを隠したり変更したりすることです。これにより、位置情報に基づくコンテンツ制限を回避したり、プロバイダーが接続速度を制限していないか確認したりできます。しかし残念ながら、新たなセキュリティ上の欠陥により、VPNを使用していても実際のIPアドレスが盗聴者に漏れてしまう可能性があり、簡単に悪用されてしまう可能性があります。ここでは、VPNの仕組みと対策について説明します。
これは一体何なのでしょう?私のデータは危険にさらされているのでしょうか?
少し話を戻しましょう。仮想プライベートネットワーク(VPN)は、データを暗号化してセキュリティを強化するのに非常に効果的ですが、IPアドレスを隠すのにも役立ちます。IPアドレスはサービスプロバイダーによってインターネット接続に割り当てられますが、これによってサービスプロバイダーが誰なのか、そして(一般的には)あなたの所在地が明らかになることがあります。YouTubeにアクセスして「申し訳ありませんが、この動画はお住まいの国ではご利用いただけません」というメッセージが表示されたり、新しいサービスに登録しようとしたらお住まいの国がサポートされていないと分かったりした経験があるなら、IPアドレスがプロバイダーがあなたの所在地を知る手段になっているのです。
多くの人が、こうした位置情報制限を回避するためにVPNを利用しています。VPNにサインインする際には、通常「出口サーバー」、つまりVPNがユーザーの実際の所在地を「偽装」する場所を選択できます。通常、これだけでサービス側はユーザーが対応国にいると認識します。
あなたも気に入るかもしれない
しかし、最近発見されたセキュリティ上の欠陥により、リモートサイトがWebRTC(Web Real Time Communication、ほとんどのブラウザに組み込まれている機能)を利用して、VPNに接続している場合でもユーザーの実際のIPアドレスを明らかにできる可能性があります。私たちの知る限り、サイトはまだこの欠陥を悪用していませんが、Hulu、Spotify、NetflixなどのサービスがVPNユーザーを特定してロックアウトする対策を講じていることを考えると、いずれ悪用が始まると予想しても無理はありません。
わずか数行のコードで、VPN を使用することで得られる位置情報保護を削除し、実際の所在地と、インターネット サービス プロバイダ (ISP) を特定できます (ISP は、ユーザーの住所を特定のユーザーと結び付けることができます)。この脆弱性は現時点では主にブラウザー ベースですが、Web ページをレンダリングできる (および WebRTC を使用する) すべてのアプリケーションが影響を受けるため、その気になれば誰でも VPN を経由し、ユーザーの実際の所在地とユーザーを特定できます。広告主、データ ブローカー、および政府は、これを利用して VPN を覗き見し、接続の実際の発信元を突き止めることができます。BitTorrent などのサービスを使用したり、Roku などのセットトップ ボックスを使用したり、自国で利用できないサイトからコンピューターで音楽や映画をストリーミングしたりする場合 (または海外に居住している場合)、使用するアプリやサービスが突然動作しなくなる可能性があります。
VPN が影響を受けているかどうかを確認するにはどうすればよいですか?
この欠陥は、GitHubの開発者Daniel Roesler氏によって文書化されました。Roesler氏は、このプロセスの仕組みを次のように説明しています。
FirefoxとChromeはWebRTCを実装しており、
スタン
ユーザーのローカルIPアドレスとパブリックIPアドレスを返すサーバーを作成する必要があります。これらのリクエスト結果はJavaScriptで利用できるため、JavaScriptでユーザーのローカルIPアドレスとパブリックIPアドレスを取得できます。このデモは、その実装例です。
さらに、これらのSTUNリクエストは通常のXMLHttpRequestの手順外で行われるため、開発者コンソールには表示されず、AdBlockPlusやGhosteryなどのプラグインでもブロックできません。そのため、広告主がワイルドカードドメインを使用してSTUNサーバーを設定した場合、これらのタイプのリクエストはオンライントラッキングに利用される可能性があります。
VPN が影響を受けているかどうかを確認するには:
「What Is My IP Address」などのサイトにアクセスし、ISP から提供された実際の IP アドレスを書き留めます。
VPN にログインし、別の国の出口サーバーを選択し(または任意の出口サーバーを使用して)、接続されていることを確認します。
「What Is My IP Address(IPアドレスの確認)」に戻り、IPアドレスをもう一度確認してください。VPNと選択した国に対応する新しいアドレスが表示されるはずです。
Roseler の WebRTC テスト ページにアクセスし、ページに表示される IP アドレスをメモします。
両方のツールでVPNのIPアドレスが表示されれば問題ありません。しかし、「What Is My IP Address」でVPNが表示され、WebRTCテストで通常のIPアドレスが表示される場合は、ブラウザがISPから提供されたIPアドレスを世界に漏洩している可能性があります。
TorrentFreakがこの問題についてVPNプロバイダーに話を聞いたところ、お気に入りのPrivate Internet Accessも含め、プロバイダー側で問題を再現することは可能だが、自社側で脆弱性を阻止する方法は不明だと回答しました。IPチェックはユーザーと接続先サイトの間で直接行われるため、ブロックは困難です。それでも、プロバイダーはブログ記事を公開し、ユーザーにこの問題について警告しました。もう一つのお気に入りのプロバイダーであるTorGuardも、ユーザーへの警告を発しました。これらの警告では、この問題はWindowsユーザーにのみ影響するように見えるとされていますが、必ずしもそうではありません。多くのコメント(およびTorrentFreak独自のテスト)によると、VPNとその設定によっては、MacやLinuxシステムを使用していてもIPアドレスが漏洩する可能性があるとのことです。
どうすれば自分を守れるでしょうか?
幸いなことに、VPNプロバイダーが自ら問題に対処するまで待つ必要はありません。今すぐできる対策はいくつかあり、そのほとんどはプラグインをインストールしたり、ブラウザでWebRTCを無効にしたりするなど、簡単なものです。
簡単な方法:ブラウザでWebRTCを無効にする
Chrome、Firefox、Opera(およびこれらをベースにしたブラウザ)は、一般的にWebRTCがデフォルトで有効になっています。SafariとInternet ExplorerはWebRTCが有効になっていないため、(WebRTCを明示的に有効にしない限り)影響を受けません。いずれにしても、上記のテストがブラウザで機能した場合は、影響を受けています。WebRTCが有効になっていないブラウザに切り替えることもできますが、ほとんどの人は現在のブラウザを気に入っているため、以下の手順をお試しください。
ChromeとOpera:ChromeウェブストアからScriptSafe拡張機能をインストールしてください。少し手間がかかりますが、ブラウザでWebRTCを無効にできます。Operaユーザーもこのアドオンを使用できますが、事前にいくつか手順を踏む必要があります。
Firefox:2つの選択肢があります。Mozilla Add-onsから「Disable WebRTC」アドオンをインストールするか(リンクは@YourAnonNewsより)、タブを開いてアドレスバーの「about:config」に移動し、WebRTCを直接無効にすることができます。「media.peerconnection.enabled」を見つけてfalseに設定してください。(ScriptSafeによく似たNoScriptをインストールすることもできますが、前述の通り、おそらくやりすぎです。)
Roeseler氏は、AdBlock、uBlock、Ghostery、Disconnectといったプライバシー保護ブラウザ拡張機能ではこの動作を阻止できないと指摘していますが、これらの方法は確実に効果を発揮します。これらの方法は動作確認済みです。また、お気に入りの広告ブロッカーやプライバシーアドオンも、近い将来にWebRTCをブロックするようにアップデートされる可能性が高いので、ご注意ください。
WebRTCを無効にすると、一部のウェブアプリやサービスが動作しなくなる可能性があるのでご注意ください。例えば、マイクやカメラを使用するブラウザベースのアプリ(一部のチャットサイトやGoogleハングアウトなど)や、位置情報を自動的に取得するアプリ(フードデリバリーサイトなど)は、WebRTCを再度有効にするまで動作しなくなります。
これまでのところどう思いますか?
より良い方法:ルーターでVPNを設定する
更新:この問題についてセキュリティコミュニティの多くの方々と話し合ってきましたが、ルーターレベルでVPNを設定することが、ブラウザでWebRTCをブロックするよりも効果的(というか、全く効果的ではない)であるとは確信が持てません。いくつかの理由(下記参照)から、VPNをルーターレベルで設定することを引き続き推奨していますが、この問題に関しては、根本原因の究明と確実な解決策の確立に向けて、現時点では前述のブラウザアドオンのいずれかをご利用いただくことをお勧めします。
アドオンをインストールしたり、ブラウザをインストールまたはアップデートするたびに調整したりするよりも確実な保護方法をお探しなら、より永続的な方法があります。VPNをコンピューターに直接接続するのではなく、ルーターで実行してください。
このアプローチには多くの利点があります。まず、この特定の脆弱性の影響を受けていないデバイスであっても、ホームネットワーク上のすべてのデバイスを保護できます。また、スマートフォン、タブレット、セットトップボックス、スマート家電など、すべてのデバイスに、VPNがデスクトップに提供するのと同じ保護と暗号化が提供されます。
ただし、注意点もあります。まず、出口サーバーを頻繁に変更するタイプ(例えば、ある日は日本、次の日はアイスランド、次の日はアメリカにいるようにブラウジングしたいなど)の場合、場所を切り替えるたびにルーターの設定を調整する必要があります。同様に、仕事でVPNを使用するがNetflixのストリーミング時は使用しないなど、接続が必要な時間帯がある場合でも不要な時間帯でも、切り替えるたびにルーターでVPNを有効または無効にする必要があります。この手順は、ルーターやVPNの種類によって、簡単な場合も複雑な場合もあります。
多くのVPNサービスプロバイダーは、ルーターレベルでVPNを設定することを推奨しています。中には、自社のサービス用にあらかじめ設定された専用ルーターを販売しているプロバイダーもありますが、既存のルーターを使用できる可能性が高いです(ただし、インターネットサービスプロバイダーから提供されたものでない限り)。ルーターの管理ページにログインし、「セキュリティ」または「接続」オプションを確認してください。モデルによってはVPNセクションが表示されるので、接続先のVPNプロバイダー名、サーバーのホスト名、ユーザー名とパスワードを入力できます。VPNを有効にすると、すべてのトラフィックが暗号化されます。
表示されなくても、まだ諦める必要はありません。VPNプロバイダーに問い合わせて、お使いのルーターの種類を伝えてください。プロバイダー側で設定手順を案内している場合もあります。案内がない場合は、ルーターがDD-WRT(対応デバイスはこちらで検索)、Open WRT(対応デバイスはこちら)、Tomato(対応デバイスはこちらで検索)などのオープンソースのルーターファームウェアに対応しているかどうかを確認してください。DD-WRTのインストールとセットアップ、Tomatoの設定方法については以前に説明しましたので、初めての方はこちらのガイドから始めてください。これらのカスタムファームウェアはすべて、ルーターレベルでVPNを設定できるようになっています。
この脆弱性は深刻ですが、明るい面としては、簡単に軽減できるということです。むしろ、たとえ適切な保護ツールをすべて使っていても、プライバシーを軽視してはいけないという警告と言えるでしょう。DNSリークから身を守る方法についてお話しした際にも、同じ点を指摘しました。プライバシーツールが正しい情報を提供しているからといって、盲目的に信頼するのは賢明ではありません。信頼は大切ですが、検証も行い、プライバシーとセキュリティは自ら管理することが大切です。
タイトル写真はNemoを使用して作成されました。追加の写真はJames Lee、Paul Joseph、Walt Stoneburnerによるものです。
ダウンロードニュースレター 技術ニュースを見逃さない
ジェイク・ピーターソン シニア技術編集者
ジェイクとチームからの最新の技術ニュース、レビュー、アドバイスを入手してください。
ダウンロードニュースレター テクノロジー 関連のニュースを見逃さないでください。ジェイクとチームからの最新のテクノロジーニュース、レビュー、アドバイスをお届けします。
次の記事へスクロールしてください
