Androidに最適なVPN設定

AndroidフォンでVPNを実行している場合は、ブラウジングデータをできるだけプライベートで安全なものにしたいため、VPNを実行している可能性があります。そのため、利用可能な最良の設定を備えたVPNが必要です。どの設定が本当に重要であるかを知り、理解するのは難しい場合があるため、Androidに最適なVPN設定のリストをまとめて、それらが何をするのかを説明しました。

暗号化とVPNプロトコル

VPN接続を安全に保つために必要な2つの最も重要な設定は、VPNプロトコルと暗号化アルゴリズムです。

使用できる最高のVPNプロトコルはOpenVPNです。これは、利用可能な最高の暗号化をサポートし、十分に開発されたプロトコルであるため、標準のVPNプロトコルです。同等のセキュリティレベルを提供するが、まだ十分に分析されていない他の2つのVPNプロトコルは、CatapultHydraとWireGuardです。可能であれば、VPNプロトコルPPTPとL2TPはどちらも古く、セキュリティが弱いため、避ける必要があります。

現時点で利用可能な最良の暗号化は256ビットのAES-GCM暗号ですが、256ビットのAES-CBC暗号は低速で同等のセキュリティを提供します。AESはAdvancedEncryption Standardの略で、データの暗号化に使用される実際の暗号です。GCMとCBCは暗号の動作モードであり、CBCはデータを復号化するときにのみ並列化またはマルチスレッド化できますが、GCMは暗号化と復号化時に並列化できるため、パフォーマンス上の利点があります。

256ビットとは、暗号化キーのサイズと、暗号化キーが持つことができる可能な値の数を指します。256ビットは、2 ^ 256または2に256倍を掛けたものとして書き込むこともできます。可能な暗号化キーの総数が完全に書き出された場合、1から始まり、その後に77個のゼロがあります。その数を概観すると、科学者はこれが観測可能な宇宙の原子の数とほぼ等しいと信じています。何世紀にもわたってスーパーコンピューターへの専用アクセスがあったとしても、AESを破る可能性はほとんどありません。

WireGuardプロトコルは、別の暗号スイートであるChaCha20を使用して暗号化を実行します。ChaCha20は、強度が256ビットAESと同等であり、処理がさらに高速ですが、新しく、十分に研究されていません。

最後の暗号化オプションの1つは、PFSまたはPerfect ForwardSecrecyです。PFSは、使用されている暗号化キーを定期的に変更する設定です。つまり、暗号化キーが危険にさらされた場合、復号化できるのは少量のデータのみです。利用可能な場合、PFSを使用しない理由はありません。

緊急停止装置

VPNキルスイッチは、デバイスがインターネットから切断されたことを検出した場合に、デバイスのインターネット接続を切断するために使用されます。これにより、VPNが切断されていることに気付かない場合に、VPNからすべてのブラウジングデータが漏洩するのを防ぐことができます。

VPNキルスイッチはすべての人に役立ちますが、ネットワークを定期的に切り替えることができるモバイルデバイスには特に役立ち、VPN接続の問題のリスクが高まります。

漏れ防止

VPNキルスイッチは、データの一般的な漏洩を防ぎますが、情報の漏洩の履歴があり、ユーザーの識別やアクティビティの追跡に使用される可能性のあるプロトコルがいくつかあります。主な原因は、IPv6、DNS、およびWebRTCです。

IPv6は、インターネット上のすべてのデバイスを一意にアドレス指定するために使用されるIPv4アドレススキームの更新です。現在、IPv4は基本的に利用可能なIPアドレスを使い果たしており、43億のIPv4アドレスのほぼすべてが割り当てられています。そのため、はるかに大きなアドレス空間を持つ新しいアドレス指定スキームに切り替える必要があります。ただし、IPv6の取り込みは遅く、多くのサービスやISPでさえIPv6をサポートしていません。

残念ながら、VPNプロバイダーがIPv6をサポートしていない場合、IPv6を無視してしまう可能性があります。その時点で、接続され保護されていると思われる場合でも、デバイスはVPNの外部でIPv6トラフィックを送受信できます。正しい手順は、VPNプロバイダーがすべてのIPv6トラフィックがデバイスを離れるのをブロックするか、IPv6をサポートしてVPN経由でルーティングすることです。ipv6leak.comなどのサイトでIPv6アドレスがリークしているかどうかをテストできます。

DNSまたはドメインネームシステムは、人間が読み取れるURLをサーバーのIPアドレスに変換するために使用されるプロトコルです。残念ながら、VPNには、DNS要求がVPN接続からリークすることを許可してきた歴史があります。DNSはプレーンテキストプロトコルであり、暗号化されていないことを意味します。つまり、ISPが提供するDNSサーバーから離れて、優先DNSサーバーを変更した場合でも、ISPは、DNSトラフィックを介して閲覧しているWebサイトを読み取って追跡できます。

DNSを含め、インターネットにデータを送信するすべてのプロトコルは、VPN経由でルーティングする必要があります。これにより、VPNトンネルを暗号化して、DNSデータをスヌーピングから保護できます。DNSリクエストがdnsleaktest.comなどのWebサイトでリークしているかどうかをテストできます。

WebRTCまたはWebReal-Time Communicationは、ピアツーピア接続に使用されるブラウザーベースのAPIです。残念ながら、VPNを使用している場合でも、実際のIPアドレスが相手に漏洩する可能性があります。したがって、WebRTCをブロックすることをお勧めします。一部のVPNはそれをブロックする機能を提供しますが、他のVPNは提供しません。必要に応じて、他のプログラムでWebRTCをブロックできます。たとえば、広告ブロックブラウザ拡張機能「uBlockOrigin」には、WebRTCをブロックする設定が含まれています。WebRTCがbrowserleaks.com/webrtcなどのWebサイトでIPアドレスをリークしているかどうかをテストできます。