あなたのインターネットトラフィックを実際に見られるのは誰か?ISP・勤務先・政府・ウェブサイト — VPNあり・なしで

ほとんどのガイドは、ひとつの狭い疑問にしか答えていません。すなわち VPNを使えば、ISPに自分の閲覧履歴は見られないのか? という問いです。正直に言えば、短い答えは「見られません」。VPNトンネルがいったん確立すれば、インターネットプロバイダーが見られるのは単一のアドレス宛ての暗号化されたトラフィックだけで、あなたが実際にどこへアクセスしているかはわかりません。しかし、この答えだけでは誤解を招きます。なぜなら、あなたのISPはあなたのトラフィックの異なる断片を覗いている少なくとも5者のうちの1者にすぎず、VPNは盲点を消し去るのではなく、その位置をずらしているだけだからです。

このページでは、多くの記事が省いているものを組み立てます。それは完全な可視性マップです。経路上のすべての観測者 — あなたのISP、勤務先、政府、訪問するウェブサイト、そしてVPNプロバイダー自身 — をひとつずつたどり、現代のHTTPS時代において、VPNあり・なしの両方で、それぞれが何を見られて何を見られないのかを正確に示します。多くの読者を驚かせる発見が2つあります。社用VPNはあなたが期待するプライバシーを逆転させること、そして管理対象デバイス上のエンドポイント監視は、これまでに作られたどんなVPNにも勝ることです。

可視性マップ:実際に経路上にいるのは誰か

ページを読み込むとき、あなたのリクエストは複数の関係者の連鎖を通過し、それぞれが異なる層を観測できます。これを単一の盗聴者ではなく、同心円状のリングとしてイメージしてください。

• あなたのデバイス — そこにインストールされているもの(OS、ブラウザ、企業の管理ソフトウェア)は、暗号化される前のすべてを見ています。この層は常に勝ちます。

• ローカルネットワーク — 自宅のルーター、あるいはカフェ・空港・オフィスのWi-Fiは、ISPと同じネットワークレベルのメタデータを見ています。

• あなたのISP(または携帯キャリア) — どのサーバーに接続するか、そして従来はあなたのDNS問い合わせを見ていました。

• 転送経路上のあらゆるもの — バックボーンネットワーク、そして国によっては回線上に設置された政府の傍受拠点。

• 接続先のウェブサイト — あなたのIPアドレス、ログインすればアカウント、Cookie、そしてブラウザのフィンガープリントを見ています。

• VPNプロバイダー(使っている場合のみ) — かつてISPが見ていたものを見ます。

VPNは、あなたのデバイスとVPNサーバーの間のトラフィックを暗号化します。これは中間のリング — ローカルネットワーク、ISP、経路上の観測者 — には役立ちますが、最も内側のリング(あなた自身のデバイス)や最も外側のリング(あなたがログインするウェブサイト)には何の効果もありません。この形を頭に入れておいてください。以下のすべての答えはこれで説明できます。

HTTPSという土台:VPN以前にすでに隠れているもの

ほとんどの人は、VPNなしで自分がどれだけ露出しているかを大きく過大評価しています。2010年当時の暗号化されていないウェブを想像しているからです。今日のウェブは、デフォルトで圧倒的に暗号化されています。GoogleのHTTPS暗号化に関する透明性レポートによれば、Chromeでのページ読み込みの95%をはるかに超える割合がHTTPS経由で行われています。TLS — HTTPSのS — は、人々が最も気にする部分をすでに保護しているのです。

HTTPS接続では、VPNがまったくなくても、あなたのISPや経路上の観測者が見られないものは次のとおりです。

• 完全なURLパス — 例えば、あなたがwikipedia.orgにアクセスしたことはわかっても、特定の病状に関する記事を読んだことはわかりません。

• ページの内容、サイトに入力した検索クエリ、フォームのデータ。

• ユーザー名、パスワード、メッセージ、その他暗号化された本文の中身すべて。

素のHTTPSでも彼らが見られるのはメタデータであり、これこそVPNが実際に塞ぐ隙間です。

• 接続するすべてのサーバーの宛先IPアドレス。

• ドメイン名。TLSハンドシェイクはSNI(Server Name Indication)と呼ばれるフィールドを通じて、サーバー名を平文で送信するためです。これを隠す後継技術としてEncrypted Client Hello(ECH)がありますが、まだ普及途上で、全面的ではありません。

• あなたのDNS問い合わせ。ISPのデフォルトリゾルバーを従来の非暗号化ポート53で使っている場合です。暗号化DNS — DoH(DNS over HTTPS)やDoT(DNS over TLS) — は、VPNなしでもこれを塞ぎます。

• 接続のタイミング・量・頻度 — つまりトラフィックの形状。

VPNはあなたのトラフィックを初めて暗号化するわけではありません。それはHTTPSがすでに行っています。VPNは、すべてをひとつの暗号化トンネルにまとめて通すことで、HTTPSが露出させたまま残すメタデータ — 主にどのサーバーと通信しているか — を隠すのです。

あなたのISP:VPNあり・なしで

これこそ多くの読者をここへ導いた問いなので、両方の状態で正確に答えましょう。

VPNなしの場合

あなたのISPは、SNI、宛先IP、そして(暗号化DNSを使っていなければ)DNSクエリを組み合わせることで、あなたが訪問したドメインとその時刻について、信頼に足るログを作成できます。HTTPSページの内容は読めませんが、ドメインとタイムスタンプのリストそれ自体が、機微な閲覧プロファイルになります。多くの法域では、ISPはこのメタデータを数か月間保持することが法的に義務づけられており、一部の法域ではそれを収益化することも認められています。

VPNありの場合

トンネルが確立すると、あなたのISPが見るのは単一のIPアドレス — VPNサーバー — 宛ての1本の暗号化接続と、そこを流れるバイトの量とタイミングだけになります。それだけです。彼らはたいてい、あなたがVPNを使っていることは判別できます(宛先IPが既知のVPNレンジに属し、プロトコルのフィンガープリントが識別可能なため)が、あなたがどのサイトを訪問し、何を検索し、何をしているかはわかりません。したがって、はい、稼働中のVPNが接続されている間、あなたのISPは閲覧履歴を見ることができません — ただしリークがない限りです(FAQのDNSおよびキルスイッチに関する注記を参照)。

社用VPNの落とし穴:仕事のVPNはあなたのプライバシーを逆転させる

ここがこのテーマで最も誤解されている点です。商用プライバシーVPNは、あなたが誰なのかを気にしないことを使命とするプロバイダーへトラフィックを通します。一方社用VPNは、あなたのトラフィックを勤務先のネットワークへ通します — そして勤務先はあなたが誰なのかを大いに気にします。役割が逆転しているのです。

会社のVPNに接続すると、勤務先のゲートウェイがあなたのISPに相当する存在になります。設定によっては、あなたがアクセスする宛先を見て、それを記録し、そして — 企業によるTLSインスペクションを通じて — HTTPSの内容を復号して読むことさえできる場合があります。会社が管理対象デバイスに自社の信頼されたルート証明書をインストールしているためです。仕事のVPNはあなたに勤務先からのプライバシーを与えるのではなく、本来なら自宅のISPが持つはずだった可視性を勤務先に引き渡すのです。

そして話はさらに絶対的になります。会社管理のノートPCやスマートフォンでは、エンドポイント監視はどんなVPNにも勝ります。例外なくです。MDM(モバイルデバイス管理)プロファイルやエンドポイント/DLPエージェントは、デバイスそのもの — マップの最も内側のリング — の上で動作します。何かが暗号化される前、そして何かが復号された後にです。それらは訪問したURLを記録し、スクリーンショットを撮影し、キーストロークをログに取り、インストール済みアプリを棚卸しし、ポリシーを強制できます。あなたが個人VPNでトンネルを張ろうと、シークレットモードを使おうと、ネットワークを切り替えようと関係ありません。ネットワーク層のツールは、同じマシン上でその上位に動作するソフトウェアから活動を隠すことはできません。

• 個人デバイス + 自宅のWi-Fi、会社VPN未接続: 勤務先が見えるものは事実上ありません。

• 会社管理デバイス、場所・ネットワークを問わず: 勤務先は監視しようと思えば何でも見られると考えてください。個人VPNはこれを変えません。

• 会社VPN(または会社Wi-Fi)に接続した個人デバイス: 会社は自社ネットワーク経由でルーティングされた宛先を見ます。

政府:メタデータ、相関分析、そして法的請求

政府が暗号を破る必要があることはめったにありません。彼らは3つの仕組みを通じて、マップの縁を攻めます。

記録を保持する関係者への法的請求。 当局はISPやVPNプロバイダーに、召喚状、令状、あるいはデータ保持命令を突きつけます。ISPは保持していた接続メタデータを引き渡すことができます。VPNプロバイダーが引き渡せるのは、実際に保存しているものだけです — だからこそ本物のノーログ姿勢が重要になります。一度も書き留めなかった閲覧記録を、プロバイダーは差し出せません。これが法域が重要である理由でもあります。法域によって、プロバイダーがどの法的命令に従わねばならず、何を保持するよう強制されるかが決まるからです。

大規模なメタデータ。 すべてが暗号化されていても、接続のパターン — 誰がVPNに、いつ、どれくらいの時間接続し、どれだけのデータが動くか — それ自体がインテリジェンスになります。VPNはローカルな観測者からあなたの宛先を隠しますが、あなたを透明にするわけではありません。VPNはあなたを、そのVPNエンドポイントに接続する大勢のうちの1人にするのです。

トラフィック相関。 トンネルの両端 — あなたからVPNへの回線と、VPNから広いインターネットへの回線 — を同時に監視できる敵対者は、何も復号せずに、フローのタイミングと量を突き合わせてユーザーを匿名解除できる場合があります。これはVPNを含むすべてのシングルホップトンネル、そしてある程度はTorにも当てはまる、既知の限界です。これには強力で有利な位置にいる観測者が必要ですが、これこそ、まともな情報源がVPNで国家レベルの相手に対して追跡不能になると主張しない理由です。

ウェブサイト自身は、依然としてあなたが誰かを正確に知っている

VPNはウェブサイトに見えるIPアドレスを変えます。しかし、サイトがあなたを識別する他のすべての手段には何の効果もありません — そして大半の人にとって、これらはIPアドレスよりはるかに多くを暴きます。

• ログイン済みアカウント。 Google、Facebook、Amazon、あるいは銀行にサインインした瞬間、あなたはサイトに自分が誰なのかを正確に伝えています。その時点でIPは無関係です。

• Cookieとトラッキングピクセル。 永続的な識別子は、IPに関係なくサイトやセッションをまたいであなたを追います。同じ広告ネットワークが何百万ものページに埋め込まれています。

• ブラウザフィンガープリンティング。 画面サイズ、フォント、タイムゾーン、言語、GPU、その他数十のブラウザ属性の組み合わせは、Cookieも安定したIPもなしにあなたを再識別できるほど、しばしば一意です。

つまりVPNはネットワークレベルの匿名性を高めます — サイトがあなたの本当のIPとおおよその位置を記録するのを防ぎます — が、身元を覆い隠すマントではありません。ログインすれば、あなたは知られます。だからこそ、ISPから隠れることとウェブサイトから隠れることは、2つの別個の取り組みなのです。

VPNプロバイダーがあなたの新しいISPになる

トンネルをもう一方の端までたどってみましょう。あなたのトラフィックはVPNサーバーから出て、そこからオープンなインターネットへ向かいます — つまりVPNプロバイダーは、かつてあなたのISPが占めていたまさにその位置に座ります。それは、以前ISPがそうできたのと同じように、あなたが行うすべての接続の宛先を見られます。あなたは信頼できる仲介者を排除したのではなく、それが誰なのかを変えたのです。

これは判断の全体を組み替えます。本当の問いはVPNは私を隠してくれるかではなく、このプロバイダーは私のISPより信頼できるか、そしてデータ要求に抵抗または制限できる立場にあるかです。具体的には次のとおりです。

• ノーログ姿勢 — プロバイダーは接続ログや活動ログを保持しているか、そしてその主張は独立した監査や実際の裁判所からの請求によって検証されたことがあるか?

• 法域 — プロバイダーはどの国の法律、データ保持義務、監視義務の下で運営されているか?

• 技術設計 — RAMのみで動作するサーバーのような機能は押収できるものを減らしますが、プロバイダーがリアルタイムで観測できるものを変えるわけではありません。

もしプロバイダーがあなたのデータを売ることで資金を得ているなら — これは一部の無料VPNのビジネスモデルです — あなたは逃れようとしていたまさにその可視性を、より悪い相手に手渡してしまったのかもしれません。

率直な答えと実践的な要点

読者が実際に尋ねる3つの質問への直接的な回答です。

1. VPNを使えば、ISPに閲覧履歴は見られないのか? 見られません。稼働中でリークのないVPNがあれば、ISPが見るのはVPNサーバー宛ての暗号化トラフィックだけで — 訪問するサイト、検索内容、ページの中身は見えません。VPNがなければ、SNI、IP、DNSを通じてドメインとタイミングは見えますが、HTTPSの内容は見えません。

2. 勤務先は自宅でのインターネット活動を見られるのか? 会社のデバイスを使うか、社用VPN/Wi-Fiを経由する場合に限ります。自分のデバイスで自分のネットワークを使い、仕事のVPNを切っていれば、勤務先が見えるものは事実上ありません。管理対象デバイスでは、エンドポイント監視がどんなVPNとも無関係にあなたの活動を見られます。

3. 政府はVPNトラフィックを見られるのか? 暗号化された内容は読めませんが、あなたのISPやVPNプロバイダーにメタデータを請求し、あなたがVPNを使っていることを観測し、そして — 十分に強力な観測拠点があれば — トラフィック相関攻撃を試みることができます。プライバシーに優しい法域のノーログプロバイダーは、引き渡せるものを制限します。

要点は、ツールを観測者に合わせることです。どこでもHTTPSを使い(すでにほぼそうなっています)、暗号化DNSを使って、ISPがデフォルトで見られるものを縮小しましょう。ISP、敵対的なローカルネットワークから宛先を隠すこと、あるいはウェブサイトに見えるIPを変えることが具体的な目的なら、VPNを加えましょう。会社管理のデバイス上で個人VPNが守ってくれると期待してはいけません — その戦いはエンドポイントで負けています。そして、ウェブサイト自身に対して匿名でいることは、ログアウトし、身元を切り分け、フィンガープリンティングに抗うという別個の鍛錬であり — VPN単体では決して解決できないものだということを覚えておいてください。

よくある質問

VPNを使えば、ISPに閲覧履歴は見られませんか?

見られません。稼働中のVPNが接続されている間、ISPが見られるのは単一のVPNサーバーIP宛ての暗号化された接続と、データの量とタイミングだけです。どのウェブサイトを訪問したか、検索内容、ページの中身は見えません。主な例外はDNSや接続のリークで、これはキルスイッチとVPN自身のDNSが防ぐよう設計されています。

VPNあり・なしで、ISPには何が見えますか?

VPNなしでは、ISPは接続するドメイン(SNIと宛先IP経由)とDNS問い合わせを見られますが、HTTPSページの暗号化された内容は見られません。VPNありでは、それらすべてがVPNサーバー宛ての1本の暗号化トンネルに集約されるため、ISPに見えるのはあなたがVPNに接続していることとデータ量だけで、どこへ向かっているかは見えません。

勤務先は自宅でのインターネット活動を見られますか?

完全にデバイスと接続次第です。個人デバイスで自宅のネットワークを使い、社用VPNを切っていれば、勤務先には通常何も見えません。会社管理のデバイス上、あるいは社用VPNや会社Wi-Fiに接続している間は、あなたの活動を監視できます — そして管理対象デバイス上のエンドポイントやMDMソフトウェアは、あなたが動かしているどんな個人VPNとも無関係にそれを見られます。

仕事のVPNは、勤務先からのプライバシーを与えてくれますか?

いいえ — むしろ逆です。社用VPNはあなたのトラフィックを勤務先のネットワークへ通し、すると勤務先が本来あなたの自宅ISPが占める位置に座り、宛先を記録し、会社がインストールした証明書を通じてHTTPSを覗き見ることもできます。仕事のVPNが守るのは会社のデータであって、会社からのあなたのプライバシーではありません。

政府はVPNトラフィックを見られますか?

内容を復号することはできませんが、ISPやVPNプロバイダーにメタデータの法的請求を行い、あなたがVPNを使っていることを観測し、トンネルの両端を監視できる場合にはトラフィック相関分析を実行できます。プライバシーに優しい法域の本物のノーログプロバイダーは、引き渡せるものを制限します。プロバイダーは実際に保持している記録しか開示できないからです。

VPNがIPを隠すのに、なぜウェブサイトはまだ私が誰かを知っているのですか?

VPNはサイトに見えるIPアドレスを変えるだけです。ログイン済みアカウント、Cookieやトラッキングピクセル、あるいはブラウザフィンガープリンティング — ブラウザとデバイス設定の一意な組み合わせ — を通じてサイトがあなたを識別するのを止めることはできません。サインインした瞬間にIPは無関係になります。だからこそネットワークの匿名性と身元の匿名性は2つの別個の問題なのです。

VPNプロバイダーは、かつてISPが見ていたものすべてを見られますか?

はい。あなたのトラフィックはVPNサーバーでトンネルを抜けるため、プロバイダーはかつてISPがいたまさにその位置に座り、接続の宛先を見られます。だからこそ本当の問いは、プロバイダーのノーログ姿勢、独立した監査を受けているか、そしてその法域なのです — あなたは信頼できる仲介者を排除しているのではなく、新しい仲介者を選んでいるのです。