仮想プライベートネットワーク(VPN)は急速に普及しており、世界の人口の約5分の1が利用していると推定されています。12億人のユーザーは大きな市場です! VPNの中心にあるのはプライバシーですが、何億人もの人々が実際にどのようなプライバシーをVPNから得ているのかが大きな疑問です。
すべてのVPNは、インターネットトラフィックのプロキシまたは仲介者としての共通の機能を果たします。つまり、オンラインでの活動に一定のプライバシーを提供するために、あなたの身元を隠すのです。しかし、実際のプライバシーのレベルは、VPNサービスのアーキテクチャとそのプライバシー機能に大きく依存します。
VPNの仕組み
VPNの仕組みを説明するために、Nymのガイドでは、中央集権型VPNと分散型VPN(dVPN)の違いに焦点を当てます。重要なポイントは、オンラインでの真のプライバシーと匿名性は、中央集権型VPNでは確保できないということです。必要なのは、私たちのトラフィックのための新しい形式の分散型で匿名なルーティングです。その理由を理解するために、最初から見ていきましょう。
VPNはどう機能するのか?
オンラインでプライバシーを保護するために、VPNは2つの主要な機能を提供します。1つはプロキシまたはリレー接続(トラフィックの起源を隠す)、もう1つはトンネリング暗号化(データの内容を保護する)です。
VPNはプロキシサーバーとは異なります。VPNはシステム全体に対応するのに対し、プロキシはアプリ専用で設定されます。また、VPNはオンライントラフィックを暗号化する唯一の方法ではありませんが、VPNの暗号化は重要なセキュリティ層です。
IPアドレスを隠す
VPN保護の基盤は、インターネットプロトコル(IP)アドレスを隠すことです。IPは、あなたのデバイスを一意に識別する番号で、インターネットサービスプロバイダー(ISP)が他のIPと接続できるようにします。ウェブサイトのサーバーなどの接続も含まれます。この32ビットまたは128ビットの番号に加えて、IPアドレスはオンラインで接続するたびにISPやおおよその位置など、あなたに関する特定の情報を公開します。
VPNをアクティブにしてウェブにアクセスすると、すべてのトラフィックはまずVPNのサーバーを通過し、目的地に接続されます。すべてのサーバーには独自のIPアドレスがあり、データのトラフィックに付随する個人のIPはVPNのIPに置き換えられます。これにより、VPNサーバーがリクエストの起源であり、あなたの個人デバイスではないように見えます。これがVPNの匿名性です。VPNはオンラインでの活動を「代理」または「代わりに」行います。
データを暗号化する
トラフィックがデバイスを出る前に、VPN保護はデータ暗号化から始まります。これはデバイスとVPNサーバーの間に確立されるVPNトンネルを通じて行われます。これらの2つの端だけがデータを復号するために必要なキーを持っています。デバイスとVPNサーバーの間でトラフィックを傍受しようとする第三者がいる場合、データは解読不可能になります。
ほとんどのウェブ接続は現在デフォルトでHTTPS暗号化プロトコルによって暗号化されているため、VPNの暗号化はコミュニケーション内容に追加のセキュリティ層を提供します。ただし、トラフィックのメタデータを保護するのはより困難です。暗号化された接続からも多くの未保護情報が「漏れ」るからです(例:接続する時間、場所、相手)。メタデータは、編纂し分析することで、多くの個人情報を明らかにすることができます。閲覧履歴全体を含む場合があります。
匿名性を保護する
VPNは、追加のプライバシーとセキュリティ保護も提供できます。複数および分散型サーバーネットワーク、国選択、キルスイッチ、DNSリーク保護、トラフィック分析をブロックする高度な技術などです。しかし、以下の詳細に入る前に、気になることがあるかもしれません。
なぜVPNが必要なのか?
VPNはなぜ必要なのでしょうか?そもそもVPNの使い道は何で、誰が必要なのか?簡単に言えば、オンラインでプライバシーが気になるなら、高品質なVPNがそれを守るための最良のツールであるということです。
誰がプライバシーを守る必要があるのか?
何かを隠している人だけが自分の活動をプライベートかつ匿名にするために追加の手段を講じる必要があるという誤った前提があります。しかし、実際には誰もがオンラインでのプライバシーを守る必要があります。なぜなら、私たち全員がプライバシーを体系的に悪用されているからです。
オンラインプライバシーへの脅威
インターネット上でプライバシーを保つのは非常に難しいです。これは、ウェブが「公開されている」からだけではありません。特定の情報は意図的に公開されるべきですが、私たちが公開する情報と公開しない情報は自分たちで選ぶべきだと期待しています。しかし、この前提は現実には難しいです。
誰が私たちを追跡しているのか?
オンラインでの活動を追跡する多くの異なるエージェントとアルゴリズムが存在します。これらの追跡者には以下が含まれます:
- ビッグテック企業: Google、Meta、Appleなどはユーザーデータを大規模に収集しています。
- ISP(インターネットサービスプロバイダー): 私たちのオンライン活動はすべてISPを経由し、メタデータの記録が保持されます。
- 政府の情報機関: 政府は監視プログラムを通じてデジタル記録にアクセスし、国家安全保障のためにデータを利用することがあります。
- データブローカー: これらの企業は、大量のインターネットユーザーデータを収集し、商業的に取引します。
- 広告主: 広告代理店はデータを購入し、ユーザーにターゲティング広告を提供します。
- ウェブサービス: 訪れるすべてのウェブサイトは、ユーザーの行動データを収集します。
- サイバー犯罪者: 悪意のあるエージェントは、個人データを利用して搾取しようとします。
VPNがどのように役立つか
VPNを利用することで、これらの侵入的な行為から自分の身元を保護することができます。しかし、AIアルゴリズムが追跡できないようにするためには、適切なプライバシーツールを選択する必要があります。VPNの種類には多くのバリエーションがあり、それぞれが異なる方法でプライバシーを保護します。
一般的なVPNの種類
VPNには大きく分けて二つのアーキテクチャがあります。従来型(または中央集権型)VPNと分散型VPN(dVPN)です。これらの種類は、データをルーティングするために使用される物理サーバーの数、誰がそれを管理しているか、およびデータが転送中にどのように処理されるかに基づいています。
中央集権型VPN
市場に出回っているVPNの大多数は、中央集権型のサーバーインフラストラクチャを使用しています。これは二つのことを意味します:
- あなたのトラフィックは、ウェブにアクセスする前に通常1つのVPNサーバーを経由します。
- 選択可能なサーバーは多くありますが、それらは単一のVPNサービスプロバイダーによって所有(またはレンタル)され、運営されています。
プライバシーへの影響
中央集権型VPNサービスを使用する場合、あなたのデバイスからのすべてのトラフィックを一つの会社が処理し、その会社のIPアドレスの背後にあなたの身元を隠します。したがって、VPNを通じてオンラインで行うすべてのことは、VPNサーバーによって記録(またはログ)される可能性があります。これらのトラフィック記録が一つの物理的な場所に保存されると、リスクが生じます。
私たちがオンラインでプライバシーと匿名性を守るためにVPNに頼っていると仮定すると、中央集権型ログが一つのサーバーに保存されることは、その目的を無効にします。データ漏洩や政府によるユーザーデータの大規模記録の要求があれば、プライバシーが侵害される可能性があります。
ノーログポリシーの信頼性
多くのVPNサービスは「ノーログ」または「ゼロログ」ポリシーを宣言していますが、これが実際に遵守されているかどうかは不明です。一部のVPNは、ネットワーク接続を維持するために必要な情報だけを保持する「運用ログ」を保持すると明記しています。また、一部のサービスは「マーケティングパートナーおよび関連会社」とユーザーデータを共有する場合もあり、これがユーザーデータの商業的取引につながることがあります。
中央集権型VPNのリスク
これらのポリシーが何であれ、中央集権型サーバーアーキテクチャでは、メタデータが一箇所に集められるため、プライバシー保護を信頼しなければならないというリスクが伴います。幸いにも、中央集権型VPN以外の選択肢も存在します。
分散型VPN (dVPN)
分散型VPNの必要性
分散型VPN技術は、中央集権型VPNのリスク(データ漏洩、政府による大量記録要求、トラフィック分析の進展)に対応するために発展しました。dVPNは、トラフィックデータが一つの物理的な場所に集中しないように設計されており、優れたdVPNはネットワーク全体での追跡を大幅に複雑にします。
分散型VPNの仕組み
分散型VPNでは、トラフィックをルーティングするために最低でも2つの独立したサーバーが必要です。これらのサーバーは、同じ個人または企業によって所有・運営されてはいけません。理想的には、サーバーは地理的に分散しているべきです。分散型の利点は、単一障害点がないため、一つのサーバーが侵害されても、全体のトラフィックが明らかにされるリスクが低いことです。サーバーの数が増えると、完全なトラフィック記録を取得するために複数のサーバーを侵害することが非常に困難になります。
VPNはどのように機能するか?
VPNサービスは非常に異なる物理的インフラストラクチャに依存しており、これがユーザープライバシーに大きな違いをもたらします。ここでは、これらの異なるモデルを通過するトラフィックがどのように処理されるのかを見ていきます。
中央集権型VPNルーティング
従来型VPNサービスを使用すると、あなたのトラフィックはまずデバイス上で暗号化され、その後、唯一のVPNサーバーにトンネルで送信されます。そこに到達すると、あなたのトラフィックに関連付けられたIPアドレスはVPNの公開IPに置き換えられ、トラフィックは解読されてリクエストを送信する場所が明らかになります。最終的に、あなたのトラフィックが目的地に到達すると、VPNサーバーから発信されたように見えます。
誰があなたの身元を確認できるのか?
この一回のホップモデルでは、VPNがあなたのトラフィックの唯一の仲介者であるため、彼らはあなたのIPアドレスと接続している相手を両方とも確認できます。一方、受信者はVPNのIPアドレスしか見ることができません。これにより、公開ウェブ上の受信者に対してシンプルな形の匿名性が提供されます。
dVPNルーティング
dVPNでは、あなたのトラフィックは最低2つの独立したサーバーを通じてルーティングされます。最初のdVPNサーバーはあなたのIPアドレスを見ることができますが、最終的に接続している相手を見ることはできません。同様に、第二の最終dVPNサーバーは接続先を確認できますが、あなたの本当のIPアドレスにはアクセスできず、ネットワーク上の前のサーバーのIPだけを知ることができます。dVPNでは、あなたのトラフィックの完全な記録が一箇所にログとして記録されることはなく、プライバシーは約束ではなく設計の特徴です。
高度なVPNプライバシー機能
プロキシと暗号化ルーティングに加えて、VPNは追加のプライバシーとセキュリティ機能を提供することがあります。市場に出回っているVPNプロバイダーは、これらの提供内容が大きく異なるため、プライバシーのための最良のVPNを選ぶ際には以下の機能に注目しましょう。
キルスイッチ
キルスイッチは、VPNサーバーとの接続が一瞬でも切れた場合に、インターネット接続を即座に遮断する機能です。たとえば、機密情報のダウンロードや送信をしている最中に、目に見えない不具合がVPN接続を中断した場合、この短い時間の間にあなたのトラフィックはVPNによって保護されなくなります。キルスイッチは、VPN接続が再開されるまで露出を防ぎます。
スプリットトンネリング
スプリットトンネリングは、ユーザーがどのトラフィックをVPN経由で送信し、どのトラフィックをバイパスするかを選択できる高度な設定です。たとえば、仕事のメールクライアントには高度なプライバシーとセキュリティが必要だが、ゲームのインターフェース使用中の遅延問題を避けたい場合、VPNをカスタマイズしてブラウザやメールアプリのすべてのトラフィックを保護し、ゲーム活動は除外することができます。
DNSリーク保護
ドメインネームサーバー(DNS)は、人間が認識できるアドレス(例:www.nymvpn.com)をコンピュータが処理できる数値IPアドレスに変換します。このサービスは通常、ISPによって提供されます。DNSリークは、トラフィック要求がVPNの暗号化トンネルを通過するのではなく、ISPのDNSサーバーに送信される場合に発生します。この場合、ISPは接続の詳細を確認し、ログに記録することができます。VPNは、自社のDNSサーバーを運営することで、この設定エラーから保護することができます。
マルチサーバールーティング
多くのVPNサービスは単一サーバーのルーティングアーキテクチャを使用していますが、これにはリスクがあります。いくつかのVPNサービスは、マルチサーバールーティングやダブルVPNモードを提供しています。しかし、これらのサーバーが単一のエンティティによって制御されている場合、ユーザーのプライバシーは必ずしも守られるわけではありません。dVPNはデフォルトでマルチサーバーを採用しており、ユーザーに追加の費用をかけずに提供されます。
国別選択
多くのVPNは、トラフィックが最後(または唯一)のホップで通過する国を選択することができます。これにより、トラフィックがどの国から来ているように見えるかを選択することが可能です。これは主に、別の国でのみ利用可能なコンテンツ(動画ストリーミングなど)にアクセスするために使用されますが、出身国での検閲を回避する手段にもなり得ます。ただし、検閲に対するVPNの有効性は、国がVPNをブラックリストに載せているかどうかなど、さまざまな要因に依存します。
VPNができないこと
質の高いVPNは、オンラインでのプライバシーと匿名性を高めるために多くのことができますが、これらの機能はVPNサービスプロバイダーとそのネットワークのアーキテクチャに大きく依存します。また、VPNが単にできないことや、特定の脆弱性も存在します。本記事では、VPNの限界について解説します。
どちらのVPNにもできないこと
1. デバイスを100%保護すること
VPNは、データが転送中にハッキングの試みに対抗するために多くのことができ、知られている悪意のある広告やフィッシング詐欺からデバイスを守るのに非常に効果的です。しかし、VPNはデバイスが最初に侵害されるのを防ぐことはできません。マルウェアやスパイウェアが既にデバイスに存在する場合、VPNの暗号化やプロキシ機能はプライバシーとセキュリティを保証できません。
2. 自らエンドツーエンドの暗号化を提供すること
トラフィックは、初期接続が暗号化されている場合(例:HTTPS接続)にのみエンドツーエンドで暗号化されます。VPNのトンネル暗号化は、デバイスとVPNサーバー間のデータを暗号化するのみです。サーバー上に到着すると、その暗号化レイヤーは取り除かれ、データが公衆のウェブ上でどこに送信されるかが明らかになります。最初にHTTPSやSSL/TLS暗号化が確立されていない場合、データは明白で完全に読み取れる状態となり、VPNサーバーと宛先の間で利用される可能性があります。
中央集権型VPNができないこと
1. トラフィックログを不可能にすること
中央集権型VPNは、トラフィックのログを保持しないと約束することができますが、彼らのサーバーがオンラインでの私たちの行動の全ルートにアクセスできるため、最終的には彼らへの信頼が必要になります。
2. データ侵害から保証すること
どんなセキュリティシステムも完全に無敵ではなく、データサーバーも例外ではありません。VPNサーバーは、潜在的に何百万ものユーザーの情報を1か所に保持しているため、サイバー攻撃の一般的かつ成功するターゲットとなります。そのため、VPNサービスプロバイダーが保持する記録が露出する可能性があります。
3. 政府の監視から保証すること
政府や法執行機関は、VPNユーザーのトラフィックや契約記録を要求することが知られています。VPNサービスが政府の監視要求の法的正当性の範囲内にある場合(例えば、14か国のネットワークなど)、記録の開示を法的に強制される可能性があります。もちろん、関連する記録が保持されていない場合は、協力が何も得られないこともあります。しかし、記録が保持されている場合、多くの人々の個人情報が当局の手に渡る可能性があります。
dVPNができないこと
1. 最も速いサービスを提供すること
dVPNが提供するプライバシーは、トラフィックをより匿名にする複数の独立したサーバーから来ています。しかし、ネットワーク内でデータが通過し、復号化されるたびに、接続は遅くなります。NymVPNのようなdVPNは、WireGuardなどの暗号化通信プロトコルにより速度が改善されていますが、速度は単一サーバーのVPNインフラストラクチャや、直接のウェブ接続と比較しても決して速くはありません。
まとめ
VPNはオンラインでのプライバシーと匿名性に関連付けられるようになった。残念ながら、時代は悪化している。データ追跡技術と大規模監視プログラムの進展により、市場を支配する従来のVPNは、私たちのプライバシーを意味のある方法で守るには不十分である。データの中央集権化がこの失敗の理由である。
分散型VPN技術は、新しい防御方法を提供する。しかし、市場に出回っているdVPNはこの任務に対応できるのか?日常的なケースではおそらく対応できる。しかし、敏感な金融取引や繊細なコミュニケーションのリスクを考えると、完全に安全とは言えないため、自分のニーズに合った最良のVPNを選ぶには注意が必要である。
このため、NymVPNは、5つのサーバーを通じてトラフィックを匿名化する革新的なミックスネットVPNモードを開発した。このモードは、最も敏感なトラフィックに対して比類のない保護を提供する。その他の使用ケース、たとえば通常のブラウジングには、WireGuardによって強化されたはるかに速く、なおかつ安全なdVPNモードを簡単に選択できる。NymVPNは最もプライバシーに優れたVPNリソースであり、最大限の保護が必要な時とスピードが必要な時を自分の手で選ぶことができる。
参考リンク
- Nym公式サイト
- Nymのミキシングネットワーク - Wikipedia
- Nymホワイトペーパー
- 分散型VPN と中央集権型VPN:違いの全て
- ミックスネットとは何か? VPNによる比類なきオンラインプライバシー
- Sphinx暗号-Nymを支える匿名データフォーマット
- ココナッツ認証(Coconut Credentials)とは?- プライバシーを保護するゼロ知識証明技術