多くの人が仮想プライベートネットワーク(VPN)を使用して、IDをマスクしたり、通信を暗号化したり、別の場所からウェブを閲覧したりしています。実際の情報がセキュリティホールから漏洩している場合、これらの目標はすべて崩壊する可能性があります。これは、想像以上に一般的です。これらのリークを特定してパッチを適用する方法を見てみましょう。
VPNリークの発生方法
ザ・ VPNの使用法の基本 非常に簡単です:あなたはあなたのコンピュータ、デバイスにソフトウェアパッケージをインストールします、 またはルーター (または、組み込みのVPNソフトウェアを使用します)。このソフトウェアは、すべてのネットワークトラフィックをキャプチャし、暗号化されたトンネルを介してリモート出口ポイントにリダイレクトします。外の世界から見ると、すべてのトラフィックは実際の場所ではなく、そのリモートポイントから来ているように見えます。これはプライバシーに最適です(デバイスと出口サーバーの間の誰もあなたが行っていることを見ることができないようにしたい場合)、仮想境界ホッピングに最適です( オーストラリアでの米国のストリーミングサービスの視聴 )、そしてそれはあなたのアイデンティティをオンラインで隠すための全体的に優れた方法です。
ただし、コンピュータのセキュリティとプライバシーは、常に猫とネズミのゲームです。完璧なシステムはありません。時間の経過とともに、セキュリティを危険にさらす可能性のある脆弱性が発見されます。VPNシステムも例外ではありません。 VPNが個人情報を漏らす可能性がある3つの主な方法は次のとおりです。
欠陥のあるプロトコルとバグ
2014年には、よく知られているHeartbleedバグ VPNユーザーの身元を漏らすことが示された 。 2015年の初めに、 Webブラウザの脆弱性が発見されました これにより、サードパーティがWebブラウザーに要求を発行して、ユーザーの実際のIPアドレスを明らかにすることができます(VPNサービスが提供する難読化を回避します)。
WebRTC通信プロトコルの一部であるこの脆弱性はまだ完全にはパッチされておらず、VPNの背後にある場合でも、接続しているWebサイトがブラウザをポーリングして実際のアドレスを取得する可能性があります。 2015年後半には、それほど普及していません(ただし、まだ問題があります) 脆弱性が明らかになりました 同じVPNサービスのユーザーが他のユーザーのマスクを解除できる場合。
これらの種類の脆弱性は、予測が不可能であり、企業によるパッチの適用が遅いため、最悪です。VPNプロバイダーが既知の新しい脅威に適切に対処していることを確認するには、情報に通じた消費者である必要があります。それでも、それらが発見されたら、自分自身を保護するための措置を講じることができます(後で強調します)。
DNSリーク
ただし、完全なバグやセキュリティ上の欠陥がなくても、DNSリークの問題が常に発生します(これは、オペレーティングシステムのデフォルト構成の選択の不備、ユーザーエラー、またはVPNプロバイダーエラーから発生する可能性があります)。 DNSサーバーは、使用する人にわかりやすいアドレス(www.facebook.comなど)をマシンにわかりやすいアドレス(173.252.89.132など)に解決します。コンピュータがVPNの場所とは異なるDNSサーバーを使用している場合、それはあなたに関する情報を提供する可能性があります。
DNSリークはIPリークほど悪くはありませんが、それでも現在地を漏らす可能性があります。たとえば、DNSリークがDNSサーバーが小さなISPに属していることを示している場合、それはIDを大幅に絞り込み、地理的にすばやく特定できます。
どのシステムもDNSリークに対して脆弱である可能性がありますが、OSがDNS要求と解決を処理する方法のために、Windowsは歴史的に最悪の犯罪者の1つでした。実際、VPNを使用したWindows 10のDNS処理は非常に悪いため、米国国土安全保障省のコンピュータセキュリティ部門である米国コンピュータ緊急対応チームが実際に 2015年8月にDNS要求の制御に関するブリーフィングを発行しました 。
IPv6リーク
関連: まだIPv6を使用していますか?あなたも気にする必要がありますか?
最後に、IPv6プロトコルはリークを引き起こし、現在地を漏らす可能性があります そして サードパーティがインターネット上であなたの動きを追跡できるようにします。 IPv6に慣れていない場合は、 ここで私たちの説明をチェックしてください –これは本質的に次世代のIPアドレスであり、人々(およびインターネットに接続された製品)の数が急増するにつれて、IPアドレスが不足する世界へのソリューションです。
IPv6はその問題を解決するのに最適ですが、プライバシーを心配している人々にとっては現時点ではそれほど優れていません。
簡単に言うと、一部のVPNプロバイダーはIPv4要求のみを処理し、IPv6要求を無視します。特定のネットワーク構成とISPがIPv6をサポートするようにアップグレードされている場合 だが VPNはIPv6リクエストを処理しないため、サードパーティがIPv6リクエストを作成して、本人の身元を明らかにする可能性があります(VPNは、リクエストに正直に応答するローカルネットワーク/コンピューターに盲目的に渡すためです。 )。
現在、IPv6リークは、リークされたデータの最も脅威の少ないソースです。世界ではIPv6の採用が非常に遅いため、ほとんどの場合、ISPがIPv6をサポートしていても足を引っ張ることで、実際に問題から保護されています。それでも、潜在的な問題を認識し、それから積極的に保護する必要があります。
漏れをチェックする方法
では、セキュリティに関して、エンドユーザーであるあなたはこれらすべてをどこに残すのでしょうか。これにより、VPN接続を積極的に監視し、接続がリークしていないことを確認するために頻繁に自分の接続をテストする必要がある状況になります。ただし、慌てる必要はありません。既知の脆弱性のテストとパッチ適用のプロセス全体を順を追って説明します。
リークのチェックは非常に簡単ですが、次のセクションで説明するように、リークを修正するのは少し難しいです。インターネットはセキュリティに敏感な人々でいっぱいであり、接続の脆弱性をチェックするのに役立つオンラインで利用可能なリソースが不足することはありません。
注:これらのリークテストを使用して、プロキシされたWebブラウザが情報をリークしているかどうかを確認できますが、 プロキシはVPNとはまったく異なる獣です 安全なプライバシーツールと見なすべきではありません。
ステップ1:ローカルIPを見つける
まず、ローカルインターネット接続の実際のIPアドレスを確認します。ホーム接続を使用している場合、これはインターネットサービスプロバイダー(ISP)から提供されたIPアドレスになります。たとえば、空港やホテルでWi-Fiを使用している場合、次のIPアドレスになります。 彼らの ISP。とにかく、私たちはあなたの現在の場所からより大きなインターネットへの裸の接続がどのように見えるかを理解する必要があります。
VPNを一時的に無効にすることで、実際のIPアドレスを見つけることができます。または、VPNに接続されていない同じネットワーク上のデバイスを取得することもできます。次に、次のようなWebサイトにアクセスします。 うぁちsみぃP。こm パブリックIPアドレスを確認します。
これはあなたの住所なので、この住所をメモしてください しない 間もなく実施するVPNテストでポップアップが表示されることを確認したい。
ステップ2:ベースラインリークテストを実行する
次に、VPNを切断し、マシンで次のリークテストを実行します。そうです、私たちは しないでください VPNをまだ実行したいのですが、最初にベースラインデータを取得する必要があります。
私たちの目的のために、 いPぇあk。ねt 、IPアドレス、WebRTCを介してIPアドレスがリークしているかどうか、接続で使用しているDNSサーバーを同時にテストするためです。
上のスクリーンショットでは、IPアドレスとWebRTCリークアドレスは同じです(ぼかしを入れていますが)。どちらも、このセクションの最初のステップで実行したチェックごとにローカルISPから提供されたIPアドレスです。
さらに、下部にある「DNSアドレス検出」のすべてのDNSエントリは、マシンのDNS設定と一致します(コンピューターはGoogleのDNSサーバーに接続するように設定されています)。したがって、最初のリークテストでは、VPNに接続されていないため、すべてがチェックアウトされます。
最終テストとして、マシンがIPv6アドレスをリークしているかどうかを確認することもできます。 いPv6ぇあk。こm 。先に述べたように、これはまだまれな問題ですが、積極的に行動することは決して害にはなりません。
次に、VPNをオンにして、さらにテストを実行します。
ステップ3:VPNに接続し、リークテストを再実行します
次に、VPNに接続します。 VPNが接続を確立するために必要なルーチンが何であれ、今こそVPNを実行するときです。つまり、VPNのプログラムを開始するか、システム設定でVPNを有効にするか、または通常接続するために行うことは何でもします。
接続したら、リークテストを再度実行します。今回は、(うまくいけば)まったく異なる結果が表示されるはずです。すべてが完全に実行されている場合は、新しいIPアドレス、WebRTCリークなし、新しいDNSエントリがあります。ここでも、IPLeak.netを使用します。
上のスクリーンショットでは、VPNがアクティブであり(IPアドレスは、米国ではなくオランダから接続していることを示しているため)、検出された両方のIPアドレスを確認できます。 そして WebRTCアドレスは同じです(つまり、WebRTCの脆弱性を介して実際のIPアドレスが漏洩することはありません)。
ただし、下部のDNS結果には、以前と同じアドレスが米国からのものであることが示されています。これは、VPNがDNSアドレスをリークしていることを意味します。
この特定のケースでは、ISPのDNSサーバーの代わりにGoogleのDNSサーバーを使用しているため、これはプライバシーの観点からは世界の終わりではありません。しかし、それでも私たちが米国出身であることを示しており、VPNがDNS要求をリークしていることを示しています。これは良くありません。
注:IPアドレスがまったく変更されていない場合は、おそらく「リーク」ではありません。代わりに、1)VPNが正しく構成されておらず、まったく接続されていないか、2)VPNプロバイダーが何らかの理由でボールを完全に落としたため、サポートラインに連絡するか、新しいVPNプロバイダーを見つける必要があります。
また、前のセクションでIPv6テストを実行し、接続がIPv6リクエストに応答したことがわかった場合は、次のことも行う必要があります。 IPv6テストを再実行します ここで、VPNがリクエストをどのように処理しているかを確認します。
では、リークを検出するとどうなりますか?それらに対処する方法について話しましょう。
漏れを防ぐ方法
発生する可能性のあるすべてのセキュリティの脆弱性を予測して防止することは不可能ですが、WebRTCの脆弱性、DNSリーク、およびその他の問題を簡単に防止できます。身を守る方法は次のとおりです。
評判の良いVPNプロバイダーを使用する
何よりもまず、セキュリティの世界で起こっていることにユーザーが遅れないようにする評判の良いVPNプロバイダーを使用する必要があります(彼らは宿題をするので、あなたはそうする必要はありません)、 そして その情報に基づいて積極的に穴を塞ぎます(変更が必要な場合は通知します)。そのために、強くお勧めします StrongVPN –優れたVPNプロバイダー 以前に推奨しただけではありません しかし、私たち自身を使用してください。
VPNプロバイダーがリモートで信頼できるかどうかを確認するための、迅速で汚いテストが必要ですか? 「WebRTC」、「リークポート」、「IPv6リーク」などの名前とキーワードを検索します。プロバイダーにこれらの問題について説明している公開ブログ投稿やサポートドキュメントがない場合は、VPNプロバイダーが顧客への対応と通知に失敗しているため、おそらくそのVPNプロバイダーを使用したくないでしょう。
WebRTCリクエストを無効にする
Chrome、Firefox、またはOperaをウェブブラウザとして使用している場合は、WebRTCリクエストを無効にして、WebRTCリークを閉じることができます。 Chromeユーザーは、次の2つのChrome拡張機能のいずれかをダウンロードしてインストールできます。 WebRTCブロック または ScriptSafe 。どちらもWebRTCリクエストをブロックしますが、ScriptSafeには、悪意のあるJavaScript、Java、およびFlashファイルをブロックするという追加のボーナスがあります。
Operaユーザーは、
マイナーな調整で
、Chrome拡張機能をインストールし、まったく同じ拡張機能を使用してブラウザを保護します。 Firefoxユーザーは、about:configメニューからWebRTC機能を無効にできます。入力するだけです
about:config
Firefoxのアドレスバーに移動し、[注意します]ボタンをクリックして、[
media.peerconnection.enabled
エントリ。エントリをダブルクリックして、「false」に切り替えます。
上記の修正のいずれかを適用した後、Webブラウザのキャッシュをクリアして再起動します。
DNSとIPv6のリークをプラグイン
DNSとIPv6のリークをプラグインすることは、使用するVPNプロバイダーに応じて、非常に煩わしい場合もあれば、簡単に修正できる場合もあります。最良のシナリオでは、VPNの設定を介してVPNプロバイダーにDNSとIPv6の穴を塞ぐように指示するだけで、VPNソフトウェアがすべての面倒な作業を処理します。
VPNソフトウェアがこのオプションを提供していない場合(そして、そのような方法でコンピューターを変更するソフトウェアを見つけることは非常にまれです)、DNSプロバイダーを手動で設定し、デバイスレベルでIPv6を無効にする必要があります。面倒な作業を行うのに役立つVPNソフトウェアがある場合でも、手動で変更する方法については、次の手順をお読みになることをお勧めします。これにより、VPNソフトウェアが正しい変更を行うことを再確認できます。
Windowsは非常に広く使用されているオペレーティングシステムであるため、Windows10を実行しているコンピューターでこれを行う方法を示します。 そして (他のオペレーティングシステムと比較して)この点でも驚くほどリークが多いためです。 Windows 8と10が非常にリークしている理由は、WindowsがDNSサーバーの選択を処理する方法が変更されたためです。
Windows 7以下では、Windowsは指定されたDNSサーバーを指定された順序で使用するだけです(または、指定されていない場合は、ルーターまたはISPレベルで指定されたDNSサーバーのみを使用します)。 Windows 8以降、Microsoftは「SmartMulti-HomedNamedResolution」と呼ばれる新機能を導入しました。この新機能により、WindowsがDNSサーバーを処理する方法が変わりました。公平を期すために、プライマリDNSサーバーが遅いか応答しない場合、実際にはほとんどのユーザーのDNS解決が高速化されます。ただし、VPNユーザーの場合、WindowsはVPNによって割り当てられたサーバー以外のDNSサーバーにフォールバックする可能性があるため、DNSリークが発生する可能性があります。
Windows 8、8.1、および10(HomeエディションとProエディションの両方)でこれを修正する最も確実な方法は、すべてのインターフェイスに対してDNSサーバーを手動で設定することです。
そのためには、[コントロールパネル]> [ネットワークとインターネット]> [ネットワーク接続]から[ネットワーク接続]を開き、既存の各エントリを右クリックして、そのネットワークアダプタの設定を変更します。
ネットワークアダプタごとに、「インターネットプロトコルバージョン6」のチェックを外して、IPv6リークから保護します。次に、「インターネットプロトコルバージョン4」を選択し、「プロパティ」ボタンをクリックします。
プロパティメニューで、「次のDNSサーバーアドレスを使用する」を選択します。
[優先]および[代替] DNSボックスに、使用するDNSサーバーを入力します。最良のシナリオは、VPNサービスによって特別に提供されたDNSサーバーを使用することです。 VPNに使用するDNSサーバーがない場合は、代わりに、OpenDNSのサーバーである208.67.222.222や208.67.220.220など、地理的な場所やISPに関連付けられていないパブリックDNSサーバーを使用できます。
Windowsが間違ったDNSアドレスにフォールバックしないようにするために、VPN対応コンピューター上のすべてのアダプターにDNSアドレスを指定するこのプロセスを繰り返します。
Windows 10 Proユーザーは、グループポリシーエディターを使用してスマートマルチホーム名前付き解決機能全体を無効にすることもできますが、上記の手順も実行することをお勧めします(将来の更新で機能が再び有効になった場合に備えて、コンピューターはDNSデータの漏洩を開始します)。
これを行うには、Windows + Rを押して実行ダイアログボックスを表示し、「gpedit.msc」と入力してローカルグループポリシーエディターを起動し、以下に示すように、[管理用テンプレート]> [ネットワーク]> [DNSクライアント]に移動します。 「スマートマルチホーム名前解決をオフにする」というエントリを探します。
エントリをダブルクリックして[有効にする]を選択し、[OK]ボタンを押します(これは少し直感的ではありませんが、設定は「スマートにオフにする…」なので、有効にすると、機能をオフにするポリシーが実際にアクティブになります)。繰り返しになりますが、強調するために、すべてのDNSエントリを手動で編集することをお勧めします。これにより、このポリシーの変更が失敗したり、将来変更されたりしても、引き続き保護されます。
では、これらすべての変更が実施されたので、リークテストはどのようになりますか?
口笛のようにきれいに-私たちのIPアドレス、WebRTCリークテスト、およびDNSアドレスはすべて、オランダのVPN出口ノードに属するものとして戻ってきます。インターネットの他の部分に関する限り、私たちはローランド地方出身です。
自分の接続で私立探偵のゲームをプレイすることは、夜を過ごすのに必ずしもスリリングな方法ではありませんが、VPN接続が危険にさらされたり、個人情報が漏洩したりしないようにするために必要な手順です。ありがたいことに、適切なツールと優れたVPNの助けを借りて、プロセスは簡単で、IPとDNS情報は非公開に保たれます。
