VPN対策ではじかれてしまうサイトを考える

自宅のNASと接続したり、カフェなど暗号化が不十分な公衆WIFIで安全にインターネットにつないだりする際に重宝するのがVPN(Virtual Private Network)です。

IPアドレスを変えてくれることから、プライバシーが保護されます。また、中国など政府の検閲を回避して自由にアクセスする手段としても広く使われています(中国ではFacebookやLINEなどの外国のSNSは遮断されています)。接続するVPNのサーバーがある国のIPアドレスを使うことができるので、その国を対象としたサイトを開くこともできます

一方で、対策もとられていて、VPN接続を拒否するサイトも少なからず存在します。この記事では、その仕組みと対応を考えます。

VPNの仕組みは?

インターネットを利用する時に、VPNサーバーに接続します。WEBやメール、LINEなどプロトコルに関わらずすべてのネット通信は、このVPNサーバーを経由して行われます。自分からVPNサーバーまではSSLなどの暗号技術で保護され安全度が高まります。

利点😃
  1. 周囲の環境に左右されず、ローカル環境からVPNサーバーまでの通信が暗号化され安全
  2. どこにアクセスしたいるかやその内容を第3者が覗き見ることが困難になり、プライバシーを保護できる
  3. 本来のIPアドレスを隠すことができ、政府などの検閲を回避できる

課題((+_+))
  1. VPNサーバーから先の通信は、接続するサイトによっては暗号化されていないこともある
  2. サーバーを経由したり、暗号の処理をしたりするため遅延が発生する
  3. 身元を隠せることで、サイバー攻撃などの犯罪に悪用される恐れがある

特に、プライバシー技術の進展と「悪用防止」については、いつも議論の的となります。たとえば、筑波大学が提供するVPNサービスでは、ログを3か月間保管し、司法機関の照会に開示するなどのポリシーを掲げ、不正利用防止に取り組んでいます。

どのようにVPN接続を検知するのか

たとえば、日本国内向けの動画サービスがあるとします。こうしたサービスを提供するサイトは、海外からのIPを拒否する設定にしています。ですから、たとえ海外からのアクセスであっても、VPNを使って日本のIPアドレスから接続すれば、理論的には利用できるはずです。

ところが、単純に日本のIPアドレスを使ってアクセスしただけでは、つながらないサイトがあります。つまり、何らかの手段でVPNで接続しているのを検知しているのです。

VPN通信そのものを覗き見ることは、一般に政府レベルでも困難とされています。VPN通信にも暗号化の手段(プロトコル)や、暗号レベルの強弱あるので、凄腕のハッカーの手にかかれば、VPN通信の暗号そのものを解読される可能性もゼロではありません。

ただし、普通の企業がそこまでするかは別の話ですし、そもそも通信の内容を傍受すると憲法が定める「通信の自由」を侵すことにほかなりません。一般的な「VPN拒否」としては、暗号自体を解読せずにVPNを「推定」する次のような方法が考えられます。

VPNを検知する方法
  1. 仕様するVPNサーバーが、VPNだと容易に推測できるドメイン名になっている
    (→xxxvpn.xxx.comなど、ドメイン名にvpnが入っているものをはじく)
  2. VPNサーバーのIPアドレスを集める
    (→筑波大学の公開VPNサービスや、VPN業者が提供するサーバーのアドレスを独自に収集。これらのIPアドレスを拒否する)
  3. VPNでよく使われるヘッダーやポートを識別する
    (→DPI(Deep Packet Inspection)と呼ばれる手法で、パケットの中身は分からずとも頭(ヘッダー)を分析することでVPNと推定する。よく使われるポートを遮断することも)
  4. 利用動向からVPNと推定する
    近接した時間で、複数の国からアクセスがある場合などはVPN使用者と判断する)

こうした手法を組み合わせることで、VPN通信そのものを突破しなくても、VPN利用者を「推定」して拒否することができます。

不正アクセス防止としてのVPN対策
アカウントの乗っ取りなどの不正アクセスから利用者を保護するためにも上記のようなVPN検知は利用されています。たとえば、決済サービスのPaypalは、1時間以内に違う国(のIPアドレス)からアクセスがあった場合、アカウントが一時的にロックされ、本人確認をしないと利用できなくなります。(→実際に私がVPNを使用中にロックされました)。パソコンではVPNを使っていて、スマホではそのままアクセスするような場合は、意識しないうちにこうした制限に自らひっかかることがありますので注意が必要ですね)

VPNを検知されない対策

それでは、「VPN拒否」に対して、どのように対応すれば良いのでしょうか?

まずは、VPNサーバーに接続する際に、ドメイン名ではなくIPアドレスを直接指定するのが原則です。次に、アカウントを伴うサービスには、「色んな国」からのアクセスがあるように見られないように、使うIPアドレスの国を固定するのも大切です。

根本的には、「特別なプロトコル」を提供する有料のVPNサービスを利用するのも手です。

vyprvpn

vyprVPNのトップページ

たとえば、私も利用している「vyprVPN」は、暗号化の手段に「カメレオン」という独自のプロトコルを採用しています。広く使われている、OpenVPNをベースにしたものですが、接続に使うポートをランダムに変えるなど「VPNと検知されない」技術に長けています。「vyprVPN」は、「この技術で中国政府のファイアーウォールも突破できる」と話しています。

具体的には書きませんが、「カメレオン」を使うことで、今まで単純にVPNを使っただけでは利用できなかった日本国内向けのサービスに、いとも簡単につなぐことができました。

筆 者

コメントを残す

メールアドレスが公開されることはありません。