DuckDuckGo が最も重視しているのはプライバシーであるため、料金を支払っている限り、同社が独自の VPN を作成することは驚くべきことではありません。現在、世の中にはたくさんの VPN があり、最高のものは通常料金が必要ですが、DuckDuckGo のサービスは他の同様のサービスと同じくらい堅実な選択肢であることが表面的にはわかります。もちろん、このようなサービスを使用するときは常に、プライバシーとセキュリティの問題が常に発生します。この VPN は実際にどの程度うまく機能するのでしょうか?背後にいる企業は、私がアプリを使用しているときに、私の閲覧データに密かにアクセスしているのでしょうか?
DuckDuckGo はこの分野に自信を持っているようです。同社は独立系サイバーセキュリティ会社 Securitum を雇って、その「ログなし」ポリシーの監査を実施しました。これは、アクティビティ、タイムスタンプ、メタデータを含むユーザー データが、会社の出口サーバー (会社のサーバーの外にあるデータをユーザーに移動するときに使用されるインフラストラクチャ) に記録または保存されないことを意味します。 Securitum は 2025 年 10 月から今年 1 月まで監査を実施し、DuckDuckGo のエンジニアリング チームを調査するために上級セキュリティ コンサルタント 2 名を派遣しました。
Secutirum のレポートによると、DuckDuckGo はログなしポリシーに準拠していることがわかります
調査の後、Securitum は、少なくとも調査していた分野に基づいて、DuckDuckGo の VPN が安全な選択肢であると判断しました。 Securitumは、ランダムなライブ出口サーバーを調査し、アクティビティ追跡の証拠が見つからなかった後、DuckDuckGoが出口サーバー上でユーザーのアクティビティを追跡または記録していないことを確認しました。 DuckDuckGo は、DNS トラフィックのようなユーザー属性の接続メタデータをログに記録しないこと、またパフォーマンスを向上させるためにキャッシュ システムを使用している一方で、データは常に「標準」24 時間後に消去されることが判明しました。さらに、このキャッシュは、データが破壊された後にアクセスできるように設計されていません。
監査の結果、DuckDuckGo の VPN は VPN サーバー上のユーザーのネットワーク トラフィックを検査または記録しておらず、「Scam Blocker」機能は DuckDuckGo のサーバーではなくユーザーのデバイス上でローカルに実行されるように設計されていることが判明しました。 VPN は、VPN の重要なコンポーネントである、アクセスしているサイトやサーバーも監視しません。 SecuritumはここでDuckDuckGoに対して建設的な批判をしており、DuckDuckGoがこの勧告に従ってすでに実装している「強化されたファイル整合性」の使用を推奨している。 VPN は他の企業やサービス プロバイダーと共有するサーバーを使用せず、このログなしポリシーはすべてのサーバーと地域に適用されます。そのため、世界中のどこで DuckDuckGo の VPN を使用していても、同じルールが適用されるはずです。
監査人はまた、設計上、ログ関連の構成の変更は困難であるべきであることも発見しました。実際、「単一のエンジニアがロギング構成を一方的に変更したり、未承認のコードをプッシュしたりすることはできない」ことがわかりました。最後に、Securitum は、DuckDuckGo の VPN とサブスクリプション API の両方が別個の認証トークンを使用していることを発見しました。これにより、認証アカウントが個々のユーザーや VPN 接続に接続しないことが保証されます。
これまでのところどう思いますか?
このレポートは、DuckDuckGo の VPN が完璧であることを意味するものではありません
Securitum の監査はバラ色のように聞こえますが、これはすべて割り引いて考える必要があります。結論では、DuckDuckGo が「ログなしポリシーに概説されているプライバシーへの取り組みに完全に準拠している」と具体的に述べられており、これは素晴らしいことですが、VPN が完璧であることを意味するものではありません。他の VPN と比較した場合、ここにはまだ弱点がある可能性があります。私たちが知っているのは、DuckDuckGo の VPN がログなしポリシーに準拠していることが監査で判明したということだけです。
それでも、これはこの VPN を使用する人にとっては有益な情報です。 DuckDuckGo の VPN を使用すると、たとえ旅行中であっても、会社が閲覧データをサーバーに保存しないため、安心して閲覧できます。