VPN接続ならISPにバレない？プロバイダの実情

インターネットに接続するとき、あなたとオンラインのアクセス先との間には常に1つの存在があります。それがインターネットサービスプロバイダ（ISP）です。モバイルネットワーク、ケーブル会社、またはブロードバンド事業者であるかに関わらず、ISPはあなたのすべてのインターネット活動が流れるゲートウェイとなります。

これは単にデータを届けることだけではありません。彼らはインフラを所有し、トラフィックを処理し、多くの場合、メール、ドメインホスティング、クラウドストレージといった追加サービスも提供しています。

多くの人はWi-Fiが設定されて動作を始めると、ISPについて深く考えることはありません。しかし、事実上すべてのオンライン活動が彼らのシステムを通過するため、重要な疑問が生じます。ISPには具体的に何がバレているのか、そしてVPNを使用するとその可視性はどう変化するのでしょうか？

このガイドでは、VPNを使わない場合にISPが通常確認できるもの、VPNを使うと変わること、さらにISPがVPNの使用を検知または妨害できるのかを解説します。推測は一切なく、ISPの仕組みや利用するツールに基づいた明確で事実に基づく答えを示します。

VPNを使わない場合、ISPは何を把握できる？

ISPは、あなたがオンラインで行うほとんどすべてのことにおいて仲介役を果たします。訪れるすべてのサイト、ストリーミングする動画、開くアプリは彼らのシステムを通過し、VPNを使用していない限り、ISPはあなたの活動について想像以上のことを把握できます。

まず良い点から言えば、近年の最新の暗号化標準によって一般のインターネットユーザーのプライバシー状況は大幅に改善されました。そのため少なくともHTTPSや、2020年にFirefoxとChromeがデフォルト設定として導入したDNS-over-HTTPS（DoH）などのより新しく安全な技術によって、検索語やアップロード／ダウンロードの内容はISPからは見えなくなっています。

しかし、検索語やアップロード／ダウンロードの内容だけが保護されるべき情報ではありません。VPNを使用しない場合、ISPには以下のものを依然として把握されます。

• あなたが訪れる一部のウェブサイト
• 使用するアプリ
• メタデータ

それぞれのカテゴリーを見ていきましょう。

アクセスするウェブサイト（ブラウザの通信）

多くの場合、ISPはあなたが訪れるウェブサイトを確認できます。どのように漏洩が起こるのか、そしてそのタイミングを見てみましょう。

ブラウザにウェブアドレスを入力すると、実際に目的のページが表示される前に複数のステップが行われます（これはミリ秒単位で処理されます）。

このプロセスの最初の部分は「DNS解決」と呼ばれます。DNS（ドメインネームシステム）の解決は、電話帳で電話番号を調べるようなものです。URL（例：www.example.com）を入力すると、あなたのデバイスはそのウェブサイトをホストするサーバーの対応するIPアドレスを知る必要があります。そのリクエストをどこに送るかを特定するためです。この検索は通常、DNSサーバーへのDNSクエリ送信によって行われます。デバイスやブラウザを特別に設定していない限り、このサーバーはISPによって提供されます。

DNS-over-HTTPSが使われていない場合、クエリは平文で送信されるため、ISPはあなたが検索したすべてのドメイン名を見ることができます。たとえ通信の残りの部分が暗号化されていてもです。ただし、彼らが正確なページ（例：example.com/sensitive-topic）を見ることはできません。見えるのはドメイン（example.com）だけです。しかしそれだけでも、あなたの関心や習慣、意図について多くのことを示す可能性があります。

しかし、DNSクエリが漏洩してしまうのはそれだけではありません。DNS解決が終わると、デバイスは目的のウェブサイトをホストするサーバーのIPアドレスを知り、そのIPアドレスを使ってサーバーとの接続を開始します。現代のほとんどのサイトで利用されているように、サイトがHTTPSを使っている場合、次のステップはTLSハンドシェイクと呼ばれる仕組みを通じて安全な接続を確立することです。一方、サイトが（HTTPSの「S」がない）HTTPのみを使っている場合、プライバシーにとってははるかに深刻ですが、これはまれであり、ブラウザが通知します。

重要なのは、TLSハンドシェイクが最終的に安全な接続を確立するものの、その最初の部分は暗号化されていないという点です。ウェブサイトがEncrypted Client Helloを使用していない限り（そして多くのサイトは未対応）、ここでもドメイン名が漏洩する可能性があります。ブラウザがそれをサーバーに平文で送信するためです。

まとめると、あなたが使うブラウザがDoHをサポートしていれば（可能性は高い）、さらに訪れるウェブサイトがEncrypted Client Helloを実装していれば（可能性は低く、また各サイトごとに確認するのは難しい）、ISPは訪問しているドメインを見ることができません。そうでない場合、ISPはあなたが訪れているドメインを把握できるのです。

使用するアプリ（直接の通信）

アプリの場合、状況はさらに悪化します。アプリを使用する際や、例えばオンラインゲームをプレイする際、ISPはあなたが接続しているサーバーのIPアドレスを確認でき、どのサービスを利用しているのか、またそのサーバーの所有者が誰であるかを把握することができます。

これは訪れるウェブサイトについても同じことが言えますが、アプリの場合は特に問題となります。なぜならアプリのIPはウェブサイトのIPよりも多くの情報を示す傾向があるからです。その理由は以下の通りです。

• 共有される可能性が低い
• 特定のブランド化されたサービスに対応していることが多い
• アプリの通信はバックグラウンドで継続的に行われ、行動パターンを示すシグナルとなる

しかしVPNを使用すれば、ISPはあなたが接続しているサーバーを一切見ることができず、代わりにすべての通信が同じサーバー、つまりVPNサーバーに向かっているように見えるのです。

メタデータ

タイムスタンプやセッションの継続時間といったメタデータも、VPNを使わなければISPが確認できる情報の一部です。一見無害に聞こえるかもしれませんが、実際には決してそうではありません。

ISPが収集するメタデータは、次のような形で利用される可能性があります。

• 販売
• 盗難
• 漏洩
• 当局によって押収

例えば米国では、名前に直接結びつかない限り、ISPはあなたの閲覧履歴を販売することが認められています。そしてそのデータの匿名性を解除することは、想像以上に簡単にできてしまうのです。十分なリソース（ISPや政府機関が持つには不自然でない程度の規模）があれば、メタデータの収集は相関攻撃の余地も生み出します。この攻撃の目的はインターネット通信を復号することではなく、トラフィックのタイムスタンプやサイズを利用してユーザーの匿名性を解除することです。

これが実際にどのように機能するかを考えてみましょう。仮にあなたが米国外に住んでいて、RedditやTwitter（米国企業でサーバーは米国内）に政府が好まない匿名コメントを投稿したとします。状況によっては、TwitterやRedditがあなたの政府や法執行機関からの要請に応じないこともあります（一般的に、その管轄内の規則に違反していない限り、プラットフォームはこの要請を拒否します）。

しかし、これらの貴重なメタデータをすべて持っているISPは、常にあなたの国に法人登録されているため、政府は彼らを法廷に訴えて勝つことができます。多くの国では、ISPが国営または政府管理下にあるため、あなたのメタデータにたどり着く道筋はさらに短くなる可能性があります。そして政府がISPにより収集されたすべてのメタデータを入手すると、あなたの投稿時刻を正確に特定でき、さらにその時間枠内でのトラフィックのサイズをある程度正確に推定できるのです。国全体の全員分のメタデータログにアクセスできれば、それを使って体系的に対象を絞り込み、最終的にあなたを特定することが可能になります。

VPNはISPに見られる情報をどう変えるか

VPNを使用すると、データがインターネット上を移動する仕組みが変わります。ウェブサイトやサービスに直接接続する代わりに、トラフィックは暗号化され、安全なトンネルを通じてリモートサーバーへ送られます。そこから最終的な目的地へ進みます。

この暗号化によって、ISPを含む外部の第三者はあなたが何をしているかを見ることができません。アクセスするウェブサイトは分からなくなり、ISPに見えるのは接続しているVPNサーバーだけです。また、トラフィックの時間やデータ量に関するメタデータも精度が下がります。

ただし、すべてが見えなくなるわけではありません。あなたのIPアドレス（したがっておおよその位置情報）はISPに引き続き見えます。また、接続に関する一部の技術的な詳細も依然として確認でき、ほとんどの場合、ISPはあなたがVPNを使用していることを認識します。

なぜISPからデータを隠すべきなのか？

Iインターネットプロバイダーは、あなたが自ら守る手段を取らない限り、あなたのオンライン活動全体にアクセスできます。そのアクセス権は、通信速度やプライバシー、そして閲覧の自由に影響を及ぼす方法で利用される可能性があります。

• 帯域幅制限：一部のISPは、あなたがオンラインで何をしているかによって接続を遅くする場合があります。たとえば、動画のストリーミング中や大容量のダウンロード中に速度を制限することがあります。これは、データ通信量が契約プランの上限内であっても、特に利用が集中する時間帯には発生することがあります。VPNがどのようにしてコンテンツに基づく速度制限を防ぐか、知っておいて損はありません。
• データ販売：前述のとおり、多くの国ではISPがあなたのオンライン活動の詳細を収集し、販売することが法的に認められています。これには、訪問したウェブサイト、検索した内容、接続頻度などが含まれます。これらすべての情報は広告主にとって非常に価値があるものです。
• 検閲：世界の一部の地域では、政府の規制やISP自身の方針により、特定のウェブサイトやサービスへのアクセスがブロックされることがあります。

米国におけるネット中立性の規則の変更により、ISPがあなたの接続をどの程度コントロールできるかに影響を与える可能性があります。ネット中立性という概念を理解し、それがあなたのプライバシーや通信速度にとってなぜ重要なのかを探ってみましょう。

VPN接続はどのようにしてISPにバレるのか？

ISPは通常、特定のトラフィックパターンに基づいてVPNの使用を認識できます。暗号化されたデータ、非標準のポート、既知のVPNサーバーのIPアドレスなどが一般的なサインです。一部のISPは、ディープパケットインスペクション（DPI）を用いてVPNが使われていることを確認する場合もありますが、それでも通信内容や最終的な接続先を知ることはできません。

VPNのIPアドレスとポート

VPNに接続すると、ISPはトラフィックが自社ネットワーク外の外部IPアドレスに送信されていることを確認します。そのIPアドレスが既知のVPNプロバイダーに属していれば、VPN使用の可能性があると判断できます。

VPNプロトコルは接続確立のために特定のポートを使用することが多いです。例えば、OpenVPNはポート1194、WireGuardはポート51820を使用します。ISPがこれらのポートを監視していれば、通信内容自体は見えなくてもVPNプロトコルの使用を検知することが可能です。

こうした詳細（IPアドレスやポート）は、インターネット接続がISPから始まるため見えてしまいます。しかしデータがVPNサーバーに到達した後の動きは隠されたままで、ISPはその先にトラフィックがどこへ向かうのかを追跡することはできません。

ディープパケットインスペクション（DPI）

一部のISPは「ディープパケットインスペクション（DPI）」と呼ばれる技術を使って、基本的なヘッダー情報以上のトラフィックを解析します。データがどこに送られるのかを見るだけでなく、データパケット自体の構造を分析します。

VPNの通信内容は暗号化されていて読めませんが、DPIは特定のプロトコルに関連するパターンを識別することでVPNが使用されていることを検知できる場合があります。例えば、パケットのグループ化方法、サイズ、転送のタイミングは通常のウェブ閲覧とは異なることがあります。

DPIによって、あなたがどのウェブサイトを訪れているのか、どんなデータを送っているのかが明らかになるわけではありません。ISPが分かるのは、そのトラフィックがVPN接続の特徴に一致しているという点だけです。

ISPはVPNの使用を警戒する？

前述のとおり、ISPは暗号化されたトラフィックや接続先IPアドレスなどのサインから、あなたがVPNを使っていることを検知できます。しかし、それを警戒するかどうかは状況によります。

インターネット規制が厳しい地域では、VPNの使用が政府による監視やコンテンツ制御を妨げる可能性があるため、ISPにVPN使用の監視や制限が義務づけられている場合があります。同様に、組織ネットワークの管理者が社内規則を守らせるためにVPNを制限したり帯域幅を制御することもあります。

また、一部のISPはユーザーデータを収集して収益化しているため、VPNの使用を自社のビジネスモデルへの障害と見なす可能性もあります。

ISPからの監視を逃れるVPN以外の代替手段

VPN以外にも、ISPにあなたのオンライン活動を見られないようにするためのツールがあります。それぞれ、使いやすさ、信頼性、匿名性といった点で長所と限界があります。

Torネットワーク

Torはトラフィックを3つのボランティアによる運営リレーを通じて経路指定し、その過程で複数の暗号化レイヤーを追加します。各リレーは前後の経路の一部しか把握しておらず、全体の経路は隠されたままになります。これにより、ISPがあなたのトラフィックの行き先を把握することは困難になります。ただし、Torは専用のブラウザが必要であり、基本的な閲覧以外では遅すぎることが多いという欠点があります。

プロキシサーバー

プロキシは、あなたのデバイスと訪問するウェブサイトの間の仲介役として機能し、あなたのIPアドレスを自身のものに置き換えます。しかしVPNとは異なり、プロキシはトラフィックを暗号化しません。つまり、ISPは依然としてあなたの活動の大部分、例えばアクセスしようとしているサイトを確認できてしまいます。

暗号化DNS

通常、ウェブアドレスを入力する際のDNSリクエストはISPに見えてしまいます。暗号化DNSを使えば、そのリクエストは隠され、ISPがあなたがアクセスしようとしているウェブサイトを知ることが難しくなります。暗号化DNSだけ（VPNなし）を利用している場合、インターネットトラフィック全体が暗号化されるわけではありませんが、ISPに見える情報の一部を制限することができます。

DNS-over-HTTPS (DoH)

DNS-over-HTTPSはDNSクエリを暗号化し、ウェブサイトに使用されるのと同じ安全なプロトコル（HTTPS）経由で送信します。DoHは現代のブラウザやDNSプロバイダーで広くサポートされています。ただし、他の暗号化DNSと同様に、インターネットトラフィック全体を隠すわけではなく、DNSルックアップのみを隠すものです。

Encrypted Client Hello (ECH)

DoHやその他のDNS暗号化方式は、あなたが訪問しようとするウェブサイトを隠しますが、ISPはTLSハンドシェイクからその情報を推測できる場合があります。TLSハンドシェイクはDNS解決が完了し、クライアントがウェブサイトサーバーのIPアドレスに接続した後、実際の暗号化データ（ウェブページなど）が交換される前に行われます。

TLSハンドシェイクは複数ステップのプロセスですが、重要なのは最初のステップ「Client Hello」です。これは基本的に「自分がサポートしている暗号方式はこれです。この接続で使うものに合意できますか？」とサーバーに伝えるもので、このとき訪問したいウェブサイトの名前（SNI＝Server Name Indication）が平文で含まれています。ここで登場するのがEncrypted Client Hello（ECH）です。ECHはこのSNIを暗号化するため、ISPに読まれることがなくなります。

ECHは2023年にリリースされたFirefoxバージョン119およびChromeバージョン117でデフォルト有効化されました。しかし、DoHとは異なりHTTPSと同様にウェブサイト運営者側の実装が必要なため、普及は比較的遅れています。また、ECHの利点を最大限に活用するにはウェブサイトがクラウドCDN上にホストされている必要があり、すべてのウェブサイトが実現できるわけではありません。

プライバシーを守るために適切なVPNの選択が重要

あなたの活動をプライベートに保ちたいのであれば、VPが役立ちます。しかしすべてのVPNが適しているわけではありません。ここで注目すべき点とその理由を説明します。

• ノーログで独立したプライバシーポリシー監査を実施：VPNプロバイダは、あなたがISPから隠した情報を確認できる立場にあるため、ISP以上に信頼できるVPNを選ぶことが重要です。信頼できるVPNとは、閲覧履歴、IPアドレス、セッション時間を保存せず、その事実を第三者の監査報告で証明しているサービスです。
• 難読化：一部のVPNは、接続を通常のウェブトラフィックに見せかけるモードを提供しており、ブロックやフィルタリングを回避するのに役立ちます。ExpressVPNでは、この機能がどのサーバーに接続してもデフォルトで有効になっています。
• プライバシーと速度：通常、プライバシー機能が多ければ多いほど速度は低下します。しかし、ExpressVPNのLightwayプロトコルなら、プライバシーと速度のどちらかを犠牲にする必要はありません。Lightwayは軽量コードと最新の暗号化標準を使用して、より速く安全な接続を確立し、信頼性の低いネットワークでも安定性を維持し、モバイルデバイスでのバッテリー消費を抑えつつ、プライバシーを損なうことなく利用できるように設計されています。