IPリーク保護の完全ガイド

VPNを使用する主な理由の1つは、実際のIPアドレスを隠すことです。 VPNを使用する場合、インターネットトラフィックは暗号化され、VPNプロバイダーが実行するVPNサーバーに送信されてから、インターネットに出ます。.

つまり、外部のオブザーバーはVPNサーバーのIPアドレスのみを参照でき、実際のIPアドレスは参照できません。したがって、彼らがあなたの本当のIPアドレスを見つける唯一の方法は、VPNプロバイダーにそれを引き渡すよう説得することです(そして、良いプロバイダーは、共有IPを使用し、これをできるだけ難しくするためにログを保持しないなどの堅牢な手段を使用します).

残念ながら、VPNを使用している場合でも、ウェブサイトがあなたの本当のIPアドレスを検出することが可能です。.

この記事は、IPリークとは何か、VPNに接続しているのにIPがリークするのはなぜか、そしてどのように問題を修正するのかを答えることを目的としています。?

DNSリークまたはIPリークをテストする方法

IPリークが発生しているかどうかを判断するには:

1. VPNを実行せずにipleak.netにアクセスします。表示されているすべてのIPアドレスをメモします(またはウィンドウを開いたままにします)。これらは実際のIPアドレスです。.

VPNが実行されていない場合のIPv6対応のオフィス接続は次のとおりです。接続がIPv6対応でない場合、IPv4アドレスのみが表示されます。ご覧のとおり、WebRTCは実際のIPv6アドレスを正しく報告します。 IPv6機能がない場合は、代わりにIPv4アドレスを報告します.

WebRTCはプライベート使用(IANAプライベートまたは特別アドレス)アドレスも報告しますが、これは私たちには関係ありません。これらのプライベート使用アドレスは、ローカルネットワークでのみ使用される内部アドレスです.

VPNの実行中にWebRTCが実際のプライベート使用IPアドレスを返したとしても、インターネットからユーザーを識別するために使用できないため、プライバシーのリスクはありません。.

2. VPNをオンにします。厳密には必要ではありませんが、別の国のVPNサーバーに接続すると、IPリークを簡単に発見できます.

3.ブラウザでプライベート/シークレットウィンドウを開き、再びipleak.netにアクセスして、VPNを実行せずに取得した結果と比較します.

  • 通常のIPv4アドレスが実際のIPv4アドレスである場合、VPNはオンになっていないか、単に機能していません.
  • WebRTCによって検出された私用IPは無視できます。すでに説明したように、これらはオンラインプライバシーに脅威を与えないため、IPリークとしてカウントされません(実際には、とにかく).
  • ipleak.net Webページの他のアドレスが実際のアドレスと一致する場合、VPNは機能していますが、何らかの方法でIPアドレスが漏洩しています.

いいもの

英国から米国のVPNサーバーに接続すると、次の結果が得られます。.

  • IPv4アドレスがVPNサーバーの場所に変更されました。 VPNは機能しています.
  • 通常のIPv6リークを防ぐために、IPv6が無効化またはブロックされました.
  • WebRTCは、実際のIPv4またはIPv6アドレスを検出していません。プライバシーを脅かすものではないため、私用アドレスは無視できます。.
  • 使用されているDNSサーバーはISPに属しておらず、正しい国で解決されています.

DNSがVPNサーバーのある場所の近くで解決される場合、VPNサービスが独自のDNSサーバーをそこで実行することを強くお勧めします。.

より広い国または地域にのみ位置する複数のDNSアドレスが表示される場合、おそらくDNS変換はGoogle DNSなどのサードパーティDNSリゾルバーによって実行されています.

DNS要求がVPN接続を介して送信され、VPNサーバーによってプロキシされていると仮定する限り、これは問題ではありません(かなり安全な仮定ですが、よくわかりませんが)。.

残念ながら、サードパーティのリゾルバによって処理されたDNS要求がVPNサービスによってプロキシされているか、リゾルバに直接送信されているかをエンドユーザーが知る簡単な方法は通常ありません。したがって、あなたはこの上であなたのプロバイダーを信頼する必要があります(または間違いなく独自のDNSサーバーを実行するプロバイダーに切り替える).

Google DNSは、オランダとベルギーにあるサーバーを使用して、すべてのヨーロッパのDNS要求を解決することに注意してください。そのため、英国、フランス、またはルーマニアのVPNサーバーに接続しているが、DNSサーバーがベルギーにある場合、それが理由です。そして、それは問題ではありません(DNSリクエストがプロキシされ、Googleに直接送信されないと仮定する限り).

悪い人

これは、英国からドイツのVPNサーバーに接続するときに表示したくないものの例です.

  • IPv4アドレスがドイツのアドレスに変更されたため、VPNは基本レベルで動作しています.
  • ただし、実際の通常のIPv6アドレスは引き続き表示されます。これは、通常のIPv6リーク(または単に「IPv6リーク」)があることを意味します.
  • WebRTCは、実際のIPv6アドレスも報告しています。 WebRTC IPv6リークがあります.
  • DNSアドレスはドイツにありませんが、実際のISPにも属していません。したがって、それらはDNSリークを構成しません.

以下では、さまざまな種類のIPリークとその修正方法について説明します。ただし、すべての場合において、よく書かれていないが推奨される解決策は、VPNサービスをリークしないものに変更することです.

定期的なIPv6リーク

IPv4について

すべてのインターネット接続には、インターネットプロトコル(IP)アドレスと呼ばれる一意の数値アドレスがあります。 IPアドレス(または単に「IP」)は、デバイスを接続するインターネットプロバイダー(ISP)によって割り当てられます.

最近まで、インターネット全体でインターネットプロトコルバージョン4(IPv4)標準を使用してIPアドレスを定義していました。これは、最大32ビットのインターネットアドレスをサポートします。これは、割り当てに使用可能な2 ^ 32のIPアドレス(約42億9000万)に変換されます.

残念ながら、過去数年間でインターネットの使用がかつてないほど増加したため、IPv4アドレスが不足しています。実際には、技術的に言えば、すでにそうしていますが、回避策はIPv4がまだ死んでいないことを意味します。現在、インターネットアドレスの大部分はまだIPv4標準を使用しています.

IPv6について

IPv4の有効期間を延長するためにさまざまな緩和戦略が展開されていますが、実際のソリューションは新しい標準であるIPv6の形で提供されます。これは128ビットのウェブアドレスを利用するため、利用可能なウェブアドレスの最大数を2 ^ 128(約3400億億億!)に拡大します。近い将来、IPアドレスを提供し続ける必要があります.

ただし、IPv6の採用は遅れています。これは主に、アップグレードコスト、後方への機能の懸念、および完全な遅延が原因です。その結果、最新のオペレーティングシステムはすべてIPv6をサポートしていますが、ISPとWebサイトの大部分はまだ気にしません。.

これにより、IPv6をサポートするWebサイトが二重層アプローチを採用するようになりました。 IPv4のみをサポートするアドレスから接続すると、IPv4アドレスを提供しますが、IPv6をサポートするアドレスから接続すると、IPv6アドレスを提供します.

これにより、IPv6をサポートするWebサイトが二重層アプローチを採用するようになりました。 IPv4のみをサポートするアドレスに接続すると、IPv4アドレスを提供します。ただし、IPv6をサポートするアドレスから接続すると、IPv6アドレスを提供します.

IPv4アドレスが使い果たされるまで、IPv4のみの接続を使用することに不利な点はありません.

IPv6 VPNリーク

残念ながら、多くのVPNソフトウェアがIPv6に追いついていません。 IPv6対応のインターネット接続からIPv6対応のWebサイトに接続すると、VPNクライアントは、IPv4接続をVPNインターフェース経由でルーティングしますが、IPv6接続も確立されていることを完全に認識しません。.

そのため、ウェブサイトには実際のIPv4アドレスは表示されませんが、IPv6アドレスは表示されます。あなたを識別するために使用することができます.

解決策

1. IPv6リーク保護を備えたVPNクライアントを使用する

最近のすべての優れたVPNクライアントは、IPv6リーク保護を提供しています。ほとんどの場合、これは、システムレベルでIPv6を無効にして、IPv6接続が不可能であることを確認することによって行われます。これは怠laな解決策ですが、うまく機能します.

より技術的に印象的なのは、VPNインターフェースを介してIPv6接続を適切にルーティングするVPNアプリです。これははるかにエレガントなソリューションであり、間違いなくすべてのVPNアプリの未来です。.

VPNプロバイダーのカスタムソフトウェアが通常のIPv6リークを防止しない場合は、代わりにサードパーティアプリを使用できます。 Windows用のOpenVPN GUI、macOS用のTunnelblick、Android用のOpenVPN、iOS用のOpenVPN Connect(およびその他のプラットフォーム)はすべて、効果的なIPv6リーク保護を提供します.

2.システムでIPv6を手動で無効にします

IPリークの可能性を防ぐ最も確実な方法は、システムレベルでIPv6を無効にすることです(可能な場合)。これを行う方法については、すべてのデバイスでIPv6を無効にする方法に関するガイドをご覧ください。.

DNSリーク

DNSリークは、かつて最も一般的なものであったため、IPリークの最も有名な形式です。近年、ほとんどのVPNサービスは順調に進んでいますが、テストでは、DNSリークの検出頻度ははるかに低くなっています.

ダイナミックネームシステム(DNS)を使用して、わかりやすく覚えやすいWebアドレス(URL)を「真の」数値IPアドレスに変換します。たとえば、ドメイン名www.proprivacy.comをIPv4アドレス104.20.239.134に変換します。したがって、本質的にDNSは、URLを対応するIPアドレスに一致させるだけの豪華な電話帳です.

このDNS変換プロセスは、通常、インターネットプロバイダー(ISP)によって実行されるDNSサーバーによって実行されます。大規模なISPでは、DNSクエリが地理的に近く(たとえば、あなたの街のどこか)で解決される可能性がありますが、これは常にそうとは限りません.

確かなことは、ISPが拠点を置く国(つまり、自国)でDNS要求が解決されることです。ただし、DNSクエリが解決される場合は常に、ホームIPアドレスにはありません。だが…

プライバシーリスク

ISPはあなたが何をするかを見ることができます

DNSクエリを解決するのはISPなので、次のとおりです。

  1. 発信元のIPアドレスを知っている.
  2. 入力したURLをIPアドレスに変換するため、アクセスしたWebサイトを認識します。世界中のほとんどのISPはこの情報のログを保持しており、日常的な問題として政府や警察と共有する場合もしない場合もありますが、常に共有するように強制することができます.

さて...通常のことでは、これはあまり重要ではありません。なぜなら、あなたのISPがあなたが訪れるIPアドレスに直接接続するからです。とにかく、あなたがどのウェブサイトを訪問したかを知っています.

ただし、VPNサーバーはインターネット接続をプロキシして、ISPがインターネット上で何をしているかを確認できないようにします。 DNSクエリをまだ解決していない限り、その場合は、訪問したWebサイトを(間接的に)確認できます.

トレースできます

Webサイトは、接続をダイレクトするDNSサーバーのIPアドレスを表示および記録できます。この方法では、彼らはあなたのユニークなIPアドレスを知りませんが、どのISPがDNSクエリを解決したかを知り、それが起こった時のタイムスタンプを定期的に作成します.

彼ら(または警察など)が訪問者を識別したい場合は、ISPに「この時点でこのアドレスにDNSリクエストを行ったのは誰ですか?」

繰り返しますが、通常の状況では、Webサイトは一意のIPアドレスをとにかく見ることができるため、これは無関係です。しかし、VPNでIPアドレスを非表示にしている場合、VPNユーザーを「匿名化」する重要な手段になります.

DNSリークの発生方法

理論的には、VPNを使用する場合、すべてのDNS要求はVPN経由で送信する必要があります。VPNプロバイダーは、VPNプロバイダーが社内で処理するか、要求がVPNサーバーから送信されたことのみを確認する第三者にプロキシすることができます.

残念ながら、オペレーティングシステムはDNSクエリをVPNインターフェース経由でルーティングできず、代わりにシステム設定で指定されたデフォルトDNSサーバー(手動でDNS設定を変更しない限り、ISPのDNSサーバーになります)に送信できません。.

解決策

1. DNSリーク保護を備えたVPNクライアントを使用する

多くのVPNクライアントは、「DNSリーク保護」機能を使用してこの問題に対処しています。これは、ファイアウォールルールを使用して、DNS要求がVPNトンネルの外部に送信されないようにします。残念ながら、これらの手段は必ずしも効果的ではありません.

「DNSリーク保護」が多くの場合、ユーザーが選択可能な機能であり、デフォルトでは有効になっていない理由がわかりません.

繰り返しますが、Windows用のOpenVPN GUI、macOS用のTunnelblick、Android用のOpenVPN、iOS用のOpenVPN Connect(およびその他のプラットフォーム)はすべて、優れたDNSリーク保護を提供します.

2. IPv6を無効にします

これはIPv4 DNSリークを決して防ぐことができないため、これは部分的なソリューションにすぎないことに注意してください。しかし、DNSリーク保護を備えたVPNアプリでさえDNSリークをブロックできない主な理由の1つは、IPv4 DNSサーバーへのDNSリクエストのみをファイアウォールで保護することです.

ほとんどのDNSサーバーはIPv4のみであるため、多くの場合、これを回避できます。ただし、IPv6接続を提供するISPは通常、IPv6 DNSサーバーも提供します。したがって、クライアントがVPNインターフェース外のIPv4 DNSリクエストのみをブロックする場合、IPv6リクエストは通過できます.

3. DNS設定を変更する

VPNインターフェースを介してルーティングされないわがままなDNSクエリは、代わりにシステムの設定で指定されたデフォルトのDNSサーバーに送信されます.

これらを既に変更していない限り、DNSサーバーアドレス(使用可能な場合はIPv4とIPv6)はISPから自動的に取得されます。しかし、あなたはそれを変更することができます、そして、私たちはそうするための指示をここに持っています.

DNS設定を変更しても、実際にはDNSリークの問題が「修正」されるわけではないことに注意してください。 DNSリクエストをISPではなくサードパーティリゾルバに漏らしているだけです.

幸いなことに、ログを保持しない非常に優れたプライバシー重視のDNSサービスがいくつかあります。また、DNS要求をDNS over HTTPS(DoH)またはDNS over TLS(DoT)DNS暗号化で保護します。これにより、ISPがDNS要求を処理しなくてもDNS要求を見ることができます。.

このテーマの詳細、および推奨される無料およびプライベートDNSサービスのリストについては、こちらをご覧ください.

Linuxユーザーへの注意

Linuxでの手動VPNセットアップは、NetworkManager、CLI OpenVPNクライアント、strongSwanなどを使用しているかどうかにかかわらず、DNSリーク保護を提供しません。幸い、この問題を解決するために実行できる手順がありますが、VPNセットアッププロセスが複雑になります.

DNSをVPNのDNSサーバーにプッシュするようにresolvconfを変更するか、iptablesファイアウォールを手動で構成して、すべてのトラフィック(DNS要求を含む)がLinuxマシンをVPNトンネル外に出ないようにします。詳細については、この記事の後半で独自のファイアウォールを構築する際の注意事項をご覧ください.

WebRTCリーク

WebRTCリークは、テストで見られるIPリークの最も一般的な形式です。厳密に言えば、WebRTCリークはブラウザの問題であり、VPNの問題ではありません。これにより、多くのVPNプロバイダーは修正が困難な問題から距離を置いています。.

私たちの見解では、これは十分ではありません。実際、プロバイダーのヘルプセクションの奥深くに隠された「WebRTCを無効にする方法」ガイドを公開するだけでも十分だとは思いません。.

WebRTCリークとは?

WebRTCは、ユーザーのブラウザウィンドウ内で音声とビデオのシームレスな通信を可能にするHTML5プラットフォームです。 Chrome、Firefox、Opera、Edge、Safari、Braveなど、ほぼすべての主要プラットフォームのほぼすべての最新ブラウザーがWebRTCをサポートするようになりました.

例外はiOSで、SafariのみがWebRTCをサポートします(少なくとも追加のプラグインなし).

ファイアウォールなどの障害物を介したシームレスなブラウザー間通信を実現するために、WebRTC対応ブラウザーは、ユーザーのパブリックIPアドレスとその実際のIPアドレスのリストを保持するSTUNサーバーに実際のIPアドレスをブロードキャストします.

あなたとWebRTCの会話を開始したい人は誰でも(または単にうるさいWebサイト)あなたの実際のIPアドレスを要求することができ、STUNサーバーは単にそれを引き渡します.

通常、WebRTCリークと呼ばれるこの問題は、「WebRTCバグ」と呼ばれることもあります。これは、WebRTCの意図的で非常に便利な機能であるため、誤った呼び名です。しかし、実際のIPアドレスを隠そうとしているVPNユーザーにとっては本当に痛いことです。!

解決策

1.ブラウザでWebRTCを無効にします

これは、VPNの使用時にWebRTCリークを防ぐための100%効果的な唯一の方法です。 VPNクライアントがVPNリークの軽減に効果的であっても、それを行うことをお勧めします.

Firefoxでは、WebRTCを簡単に無効にできます。 URLバーに「about:config」と入力してFirefoxの詳細設定を入力し、「media.peerconnection.enabled」を検索して、エントリをダブルクリックして値をfalseに変更します.

別の方法(および他のブラウザー)では、WebRTCの無効化、uBlock、uBlock Origin、NoScriptなど、WebRTCを無効にできるさまざまなブラウザープラグインがあります。一部のVPNプロバイダーには、カスタムブラウザーアドオンにWebRTCを無効にする機能が含まれています.

このテーマに関するより完全な議論は、WebRTC VPN「バグ」とは何か、そしてそれを修正する方法で見つけることができます。?

2. WebRTCリークを軽減するVPNサービスを使用します

WebRTCリークはブラウザの問題であるため、これを防ぐための本当に効果的な唯一の方法は、ブラウザでWebRTCを無効にすることです.

ただし、VPNプロバイダーはファイアウォールルールを使用して、クライアントレベルとVPNレベルの両方で設定を強化し、WebRTCリークが発生する可能性を大幅に減らすことができます。 Webサイトは常にリークの可能性を高めるように設計された巧妙なJavaScriptコードを実装できるため、VPNプロバイダーはこれらの対策が機能することを保証しません。.

ただし、一部のVPNサービスは、VPNリークの防止に一貫して有効であることがわかりました。ただし、これらでもWebRTCをブラウザレベルで無効にすることをお勧めします。念のために.

VPNドロップアウトとキルスイッチ

技術的には「IPリーク」ではありませんが、VPN接続がないために問題が発生するため、効果は同じです。VPNによって保護されていると思います。.

VPNドロップアウトとは?

場合によっては、VPN接続が失敗することもあります。これは、多くの場合、最高のVPNサービスでさえ完全に制御できない理由によります。 。これが発生した後、コンピューターがインターネットに接続されたままの場合、実際のIPが公開されます.

これは、コンピューターから離れている間(多くの場合、長期間)BitTorrentクライアントを実行したままにするP2Pダウンローダーにとって特に問題です。 VPN接続が切断された場合、その真のIPは、ダウンロードしているトレントを追跡する著作権執行者にさらされます.

また、WiFiとモバイルネットワークの切り替え、およびモバイルネットワークの切り替えによりVPNドロップアウトが発生する可能性があるため、モバイルユーザーにとっても問題です。.

解決策

1.キルスイッチを使用する

キルスイッチは、VPNが機能していないときにデバイスがインターネットに接続するのを防ぎます。ほぼすべての最新のキルスイッチは、実際にはファイアウォールまたはシステムレベルのファイアウォールルールであり、VPNインターフェイス外部のすべてのインターネット接続をブロックします.

そのため、VPNソフトウェアが失敗するか、再接続が必要な場合、インターネットへのすべてのアクセスがブロックされます。実際、同じファイアウォールルールが効果的なDNSリーク保護を提供し、WebRTCリークの軽減に役立ちます.

Kill Switchは、モバイルアプリではまれですが、デスクトップVPNクライアントでは非常に一般的な機能になりました。ただし、Android 7以降には、インストール済みのVPNアプリで動作するキルスイッチが組み込まれています.

VPNアプリは、独自のファイアウォールを使用してキルスイッチ(およびその他のリーク保護)を作成したり、システムの組み込みファイアウォールを変更したりできます。アプリが完全にクラッシュした場合でも、キルスイッチは存続するため、後者のソリューションをお勧めします。しかし、キルスイッチはどれよりもはるかに優れています.

ファイアウォールルールを使用して独自のキルスイッチとDNSリーク保護を構築する

これまで見てきたように、多くのVPNアプリは独自のファイアウォールルールを使用するか、システムファイアウォールルールを変更してキルスイッチを作成し、DNSリークを防ぎます。同じことを手動で行うことは完全に可能です.

詳細はOSとファイアウォールプログラムによって異なりますが、基本的な原則は次のとおりです。

1.インターネット接続上のすべての発信および着信トラフィックをブロックするルールを追加します.

2. VPNプロバイダーのIPアドレスの例外を追加します.

3. TUN / Tapアダプター(OpenVPNを使用している場合、またはその他のVPNデバイス)のルールを追加して、VPNトンネルのすべての発信トラフィックを許可します.

Comodo Firewall for Windowsを使用してこれを行うための詳細なガイドがあります。 MacユーザーはLittle Snitchを使用して同じことを実行できますが、LinuxユーザーとDD-WRTルーターでVPNクライアントを実行しているユーザーはiptablesを使用できます.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me