VPN を盲目的に信頼するのはやめましょう: オンラインでの行動すべてが暴露される 8 つの方法

Posted on 12 5月 8:32 pm

あなたの VPN はおそらくあなたの知らないうちに情報を漏洩させています。アクセスするドメイン名から実際のアイデンティティに至るまで、プライバシーを守るために VPN を使用している場合は、必ずこの本を読んでください。

多くの人がプライバシーのために VPN に依存していますが、ほとんどの人は、VPN が DNS リクエストを漏洩することが多く、個人情報を保護していないことに気づいていません。ブラウザは VPN の制御外にあり、独自のフィンガープリントを持っています。ログインセッションと相互参照されると、トラッカーは Web 全体であなたの本当の身元をプロファイリングします。言うまでもなく、Web サイト上の JavaScript の小さなスニペットによって、実際の IP アドレスのマスクが解除される可能性があります。その方法と対処法について説明します。

DNSリーク

VPN トンネルを経由しない DNS トラフィック

ドメインネームシステム (DNS) は、ドメイン名 (example.com など) を IP アドレスにマッピングするために私たち全員が舞台裏で依存しているものです。 DNS リークは、システムが VPN の暗号化されたトンネルの外で DNS リクエストを行うことです。 DNS は暗号化されていないことが多いため、ネットワークスヌーパーであればトラフィックのプロファイリングを行うことができます。

ルーティングテーブルは、コンピュータのトラフィックの送信先を決定します。 VPN アプリは、ほとんどの情報を VPN 経由でプッシュできるように、可能な限りこれらを変更します。ただし、ルーター、ローカルデバイス、VPN サービス自体へのトラフィックを許可する必要があり、これが問題の原因となることがよくあります。 OS によってこれらのルールをオーバーライドすることもできます。

DNS リークの一般的な原因 (ただし、適切な VPN アプリはこれらに対処する必要があることに留意してください):

ルーター DNS プロキシ: ネームサーバーをルーター (別名ゲートウェイ) に設定すると、OS が混乱し、DNS トラフィックがトンネルの外にルーティングされる可能性があります。
テレド: (Windows 10 v1803 以降は無効になっています) VPN が IPv6 をサポートしていない場合、IPv6 ベースの DNS 要求がサードパーティのリレーを介してルーティングされる可能性があります。
VPN が提供する DNS サービスはありません: システムがデフォルト (ゲートウェイである可能性があります) を使用する原因となります。
DNSハイジャック: 一部のセキュリティソフトウェア (アバストなど) は DNS をハイジャックし、トラフィックをカスタム DNS サービスにルーティングしますが、トンネルを通過しない場合があります。
スマートマルチホーム名前解決 (SMHNR): Windows では、これにより、すべての名前解決プロトコル (DNS を含む) が、VPN および物理 (通常) インターフェイスを含むすべてのネットワークインターフェイスを介して、設定されたすべてのリゾルバーに送信されます。

ネットワークインターフェイスは、コンピュータが外部の世界に接続する方法です。物理インターフェイスは実際の接続を表し、仮想インターフェイスは VPN を表します。

解決策に到達する前に、DNS リークがないかテストしてください。 DNS サーバーが期待どおりのものであることを確認してください。 Wireshark などの高度なツールを使用して、ポート 53 のトラフィックが VPN インターフェイスを通過するかどうかを確認することもできます。

適切な VPN アプリであれば、これらの問題のほとんどに対処できるはずであることを覚えておいてください。

解決策:

Teredo を無効にする：もう必要ありません。
正しいネームサーバーを使用する: VPN アプリが自動的に提供および構成しない場合は、他のオプションを検討してください。
SMHNR を無効にする：その必要はありません。
DNSハイジャック機能を無効にする: セキュリティアプリを評価し、アプリケーションの設定を確認します。
専用の VPN ゲートウェイを使用する: VPN サービスを通じてトラフィックをルーティングすることのみを目的として設計された専用の別個のシステム。外部ファイアウォールを使用して、出力 (送信) パケットをそのサービスのみに制限する必要があります。これを実現するために Qubes OS 上の仮想マシンを使用しますが、これは非常に技術的です。

私が使っていて、お勧めします プロトンVPN、まともなアプリがあります。

8/10

ロギングポリシー: ログなしポリシー
モバイルアプリ: アンドロイドとiOS
サーバーの数: 13,000+
無料トライアル: 機能が制限された無料版

IPv6 漏洩

VPN サービスでサポートされていない場合、IPv6 トラフィックは別の場所にルーティングされる可能性があります

Ubiquiti Flex Mini マネージドネットワークスイッチに接続されたイーサネットケーブル。-2

IPv6 リークは DNS リークと似ています。VPN がそのような接続を処理しない場合、オペレーティングシステムが物理インターフェイスを引き継いでトラフィックをルーティングし、トラフィックが公開されます。

解決策はいくつかあります。

IPv6サポートを優先する: IPv6 トラフィックを明示的にサポートする VPN を使用し、テストします。
IPv6を無効にする: システム上で完全に無効にします。
ファイアウォールのIPv6トラフィック。

WebRTC リーク

ウェブサイトはあなたの身元を密かに明らかにする可能性があります

WebRTC は、VPN の背後にいる場合でも、実際の IP アドレスを公開する可能性があります。どの Web サイトでも小さな JS スニペットを実行して、ユーザーの正体を暴くことができます。

WebRTC は、ピアツーピアのデータ転送を可能にするテクノロジーのグループです。 PeerTube は有名な例の 1 つです。

2 つのピアを接続するために、WebRTC はすべてのローカルインターフェイス (物理インターフェイスと仮想インターフェイス) を列挙し、それらの IP アドレスを OS から直接読み取ります。また、特別なサーバー (STUN サーバー) にパケットを送信し、そこから見えるパブリック IP で応答します。スクリプトをホストする Web サイトはこれらを収集し、あなたを簡単に特定できます。

これにより、あなたが VPN を使用していることがわかります

透明マントじゃないよ。

解決策:

WebRTC を無効にする: これは、Firefox と Chrome の両方で (拡張機能を使用して) 行うことができます。
VPNゲートウェイを使用する: はい、WebRTC の愚かささえ捕らえます。

接続が切断される

システムは保護されていないパケットを送信し続ける可能性があります

VPN 接続が切断されると、パケットがデフォルトで物理インターフェイスに送信され、トラフィックが公開される可能性があります。

解決策:

キルスイッチ: VPN アプリは、VPN 接続が切断された場合にすべてのネットワークトラフィックを切断するこの機能を提供します。
ファイアウォールルール: VPN サービスまたはローカルネットワーク宛てではない物理インターフェイス上のすべてのトラフィックをブロックします。

ブラウザのフィンガープリンティング

複数の IP アドレス間で同じ ID

フィンガープリントはブラウザの属性の測定値であり、あなたを一意に識別します。それは数学的に導出されており、非常に効果的です。

これらは、Facebook、Google などの追跡スクリプトで最もよく使用され、Web 全体をカバーします。 IP を変更すると、Google にアクセスしたときだけでなく、アクセスしたすべての Web サイトでも、その IP アドレスが同一人物であることが Google に認識されます。

解決策:

指紋のランダム化: 指紋を頻繁に変更する、プライバシーを重視した強力なブラウザを使用してください。現時点でこれを実行できるのは Brave だけです。
ブロックトラッカー: Firefox や Brave などのブラウザにはトラッカーブロッカーが組み込まれています。それらを使用してください。
さまざまなブラウザ: 実際のログインセッションを日常のブラウジングから分離します。 Facebook や Google などの企業は、その指紋をあなたが誰であるかに関連付けます。

認証されたセッション

あなたの本名を指紋に結び付ける

Apple iPhone 14 Pro のメタ読み込み画面からの Facebook。

ブラウザを使用して複数のパブリック IP アドレスから Facebook、TikTok、Google などにログインすると、指紋と実際の ID が関連付けられます。これらの企業は Web 上であなたを追跡し、あなたの Cookie はこれらのドメイン上で永続的な ID を維持します。基本的に、彼らはあなたの指紋と本名を持っています。

解決策:

専用の VPN ゲートウェイを使用する: 1 つは通常のトラフィック用、もう 1 つはリアルアイデンティティセッション用です。
ネットワーク名前空間を使用する: Linux では、ユーザーは完全に別個のネットワークスタックを作成して ID を分離できます。別のブラウザも使用してください。
シークレットモードを使用する: 最後の手段として、プライベートウィンドウでリアル ID セッションを実行し、パブリック IP アドレスを変更する前に、セッションを閉じて破棄します。 Brave を使用すると、指紋も変わります。

誤ってクリアテキストを使用してしまう

VPN を使用せずに個人情報を送信すると、個人情報が関連付けられます

画面上に AI チップを搭載したスマートフォンが数台あり、中央に「停止」と表示されるチップが搭載されたスマートフォンが 1 台あります。

リアル ID アカウントからログアウトした場合でも、VPN がオフになった状態でブラウザセッションを復元すると、指紋と実際の IP アドレスがトラッカーに通知されることになります。トラッカーは、そのデータを、以前にユーザーから収集した閲覧習慣と関連付けることができます。

解決策:

ツールの使用を変える: 実際の接続と仮想接続で異なる検索エンジンと LLM を使用します。これにより、間違いを防ぐことができます。
VPN ゲートウェイまたはキルスイッチを使用する: VPN を経由しない限り、トラフィックが発生しないようにします。
気をつけて。

DNSプロファイリング

特定の Web サイトに何を、いつ、どのくらいの頻度でアクセスするかによって、独自の状況が描かれます。

暗号化された DNS の図。暗号化されたテキストのブロックにキーと南京錠のアイコンが接続されています。

あなたの毎日の習慣には、アクセスする Web サイト、時間、頻度が含まれます。 Web 全体にわたる ISP などのネットワークオペレーターは、独自の動作パターンを推測し、それを使用して、さまざまなパブリック IP アドレス間でユーザーのプロファイリングと追跡を行うことができます。

解決策:

VPN が提供する DNS サーバーを使用する: これが最良の解決策であり、DNS リクエストを完全に隠蔽しますが、VPN プロバイダーはユーザーのプロファイリングを行うことができます (また、実際に行うプロバイダーもいます)。
HTTPS 経由で DNS を使用する: あなたと DNS サービス以外の誰もあなたの DNS リクエストを読み取ることはできません (以下に注意事項があります)。
DNSCryptを使用する: これは匿名の DNS リレーを提供するため、私のお気に入りです。

DNS トラフィックは DNS サービスで停止しません。これらのシステムはさらに「アップストリーム」リクエストを行いますが、これは暗号化されておらず、もう 1 つの潜在的な追跡ソースです。 DNSCrypt リレーは、発信元 (あなた) を匿名化することでこの問題に最もよく対処します。

DNS サーバーは、アクセスするすべての Web サイトを認識します。Google の 8.8.8.8 が異なる理由はここにあります

8.8.8.8 は単純な代替手段を提供するだけではなく、潜在的にプライバシー上の利点も提供します。

OS がプライバシーを侵害する可能性は非常にたくさんあります。漏洩に対する唯一の賢明な防御策は、ロックダウンされた VPN ゲートウェイです。私は外部ファイアウォールを備えたものを使用しています。これにより、VPN サービスへの出力 (アウトバウンド) パケットが制限され、VPN トラフィックのみがシステムから流出するようになります。 VPN ゲートウェイはホストの外部にあるため、問題となる内部要因が影響することはありません。ただし、すべての人に適しているわけではないため、注意することが次善の策です。