最強のVPNプロトコル、WireGuardがmacOSアプリになった

何年も前からWireGuardはもっとも有望なVPNプロトコルと見られてきた。これはローカル・コンピューターとサーバーの間に速度と安全性を両立させつつVPN接続を確立する優れたプロトコルだ。

今日(米国時間2/18)、このプロトコルのデベロッパーがWireGurad for macOSMac App Storeにデビューさせた。

注意すべきなのはWireGuardはあくまでVPNプロトコルでありOpenVPNやIPsecのようなサービスではないという点だ。そのため、WireGuardはネットワークの状態によらずVPN接続を維持する。Wi-Fi機器やケーブルを交換しようとノートパソコンがスリープ状態になろうとVPN接続が切断されることはない。

もちろんWireGuardでVPN接続するためにはローカルマシンだけでなくサーバー側もこのプロトコルをサポートしている必要がある。すでにWireGuardアプリはAndroid(ベータ)版、iOS版がリリースされているが、今日のリリースはmacOS版だ。

しばらく前からWireGuardのチームはmacOS版の開発を始めていた。しかし単なるサービスと違ってプロトコルをアプリとして提供するためにはいくつかの困難があった。パッケージ・マネージャーのHomebrewを利用すれば WireGuardツールをインストールすることは可能だったが、VPN接続をスタートするにはMacのTerminalからコマンドライン入力を行う必要があった。

しかしMac App版の登場で操作が非常に簡単人あった。Mac App Storeからアプリをダウンロードし、サーバー・プロフィールに追加するだけでよい。アプリのメニューバーにはドロップダウンメニューが用意されており、簡単にVPNの接続を管理できる。たとえば、Wi-Fiでインターネットに接続するときだけVPNを起動し、Ethernetケーブルで接続するときは起動しない、などのシナリオを設定できる。

私は実際にアプリをテストしてみたが、信頼性、高速性は期待どおりだった。WireGuardはAppleが標準とするNetwork Extension API を利用してVPNトンネルを付加する。この操作は設定のネットワークのパネルから実行できる。

WireGuardをテストしてみる場合、Algo VPNを利用して自分自身でVPNサーバーを立ち上げることを強く奨める。有料無料を問わず、サードパーティーのVPNを使うことはできるだけ避けるべきだ。VPN企業は自分のサーバー上でユーザーのインターネット・トラフィックをすべてモニターできる。これは大きなセキュリティー・リスクだ。

つまりVPN企業はユーザーのブラウズ履歴を分析する、広告主に販売する、独自の広告を忍び込ませる、身元を盗んでなりすましに手を貸す、捜査当局にオンライン履歴を引き渡す、等々が可能だ。

VPN企業のプライバシー規約は明白な虚偽だったりする。Aboutページさえ用意されず、運営者も身元も不明なサービスもあるし、大金を払って好意的なレビューや口コミを投稿させることもある。VPN企業のサービスは避けるに越したことはない。

とはいえ、信頼できないWi-Fiを使わねばならなかったり、ウェブに検閲が行われている地域を旅行しているなど、止むをえずVPNサービスを必要とする場合もある。そういうときは信頼できるサーバーを接続先に選ぶべきだ。

原文へ

滑川海彦@Facebook Google+

プライバシーへの不安が高まる今、15分で自分専用VPNサーバーを立ち上げてみた

インターネットプロバイダーが利用者の個人情報を広告主と共有できるようにする法案を、議会が通過させたために、皆が(当然ながら)プライバシーに関する不安を抱いている。ただ、あなた自身のプライバシーを守ることは重要だが、だからといってVPNサービスに登録して全てのトラフィックをVPNサーバーを通さなければならないということではない。

VPNを使っても匿名性は保たれない

さて、ではVPNとは一体なんだろう?私は既にVPNを解説する記事を書いているが、そこではVPNを映画のカーチェイスに喩える簡単なコンセプトを使って説明した。

簡単に要約するならば、コンピューターや携帯電話をVPNサーバーに接続すると、サーバーとあなたのデバイスの間に暗号化されたトンネルが確立されるということだ。このトンネルの中で何か起きているかは、たとえあなたのインターネットプロバイダーでも知ることができない。

にも関わらず、それであなたが魔法のように匿名化されたというわけではない。あなたのすべてのインターネットトラフィックを見ることができるVPN会社に対して、リスクを移管しただけのことだ。実際のところ、その大多数があなたのデータを既に、詐欺師と広告主たちに売り渡している。

これが私がVPNサービスに登録することをお勧めしない理由だ。彼らは信頼できない。

補足しておくなら、今や多くのサイトがセキュアなコネクションをユーザーのブラウザーとウェブサイトの間に確立するために、HTTPSを利用している。TechCrunchももちろんそうだ。可能な限り多くの場所でHTTPSを利用することを確実にするために、HTTPS eveywhere拡張をインストールしておくべきだ。

しかしVPNもときどきは役に立つ。公衆ネットワークからのアクセスがブロックされているウェブサイトにアクセスしたいこともあるだろう。あるいは中国を旅行しているときにGmailアカウントにアクセスしたいこともあるかもしれない。そうした場合には、大切なのはVPNを使いながらリスクを最小化するということだ。

独自VPNサーバーのセットアップ

議会が大失敗をやらかす前に、Wozが私の以前のVPNの記事にコメントしてくれたように、あなた自身で独自VPNサーバーを運営することも可能だ。

しかしもし、家庭の回線接続が不安定だったり、家からのアップロード方向の速度が遅い場合には、とても実用的には利用できない。

そこで私はAlgo VPNを少々試してみた。これはクラウド内のVPNを、開発に関してあまり知識はなくても、わずかの時間で設定させてくれるスクリプト群だ。その結果、Trail of Bitsによるこのアプローチに、私がとても感心したことを書かなければならない。

私はDigitalOceanのサーバー、Amazon Web Serviceのインスタンス、そしてScalewayのサーバー上にVPNサーバーを設置してみた。そして、その設置後数分で、上記すべてのVPNサーバーに、私のMacとiPhoneから接続することができた。

Algo VPNがVPNインストールプロセスを自動化してくれるので、サーバーに対してSSH接続を行って込み入ったコマンドラインを実行する必要はないのだ。

まず必要なものをインストールするために、手元のコンピュータ上で3つほどのコマンドラインを実行する。その後、DigitalOceanのようなクラウドプロバイダにサインアップして、そのターミナルの中でAlgo VPNセットアップを実行する必要がある。この記事を公開したあとで変更があるかもしれないので、ここにはインストールプロセスの詳細を書くことは控えるが、必要なことは全てGitHub上の公式リポジトリで説明されている。

DigitalOceanでは、独自のサーバーを作成して設定する必要はない。Algo VPNは、DigitalOceanのAPIを使用して、サーバーの作成から設定までの全てのことを行ってくれる。

セットアップウィザードの終了時に、ローカルハードドライブ上にいくつかのファイルが置かれる。例えば、MacOSの場合、その生成された構成プロファイルをダブルクリックすると、VPNサーバーをネットワーク設定に追加した上で、そのVPNサーバーへの接続が行われる。macOSとiOSの上でネイティブ動作するので、別途VPNクライアントをインストールする必要はない。

簡単にまとめよう:

  1. DigitalOceanのような、クラウドホスティングプロバイダーの上に、アカウントを作成する。
  2. Algo VPNをローカルコンピュータ上にダウンロードして、unzipなどで展開する。
  3. このページのコマンドラインを実行して必要ファイルをインストール。
  4. インストールウィザードを実行する。
  5. configsディレクトリに置かれる構成プロファイル(configuration profile)をダブルクリックする。

使い捨てのVPN

自分自身のVPNを運営しているからといって、インターネットで更に安全になったというわけでもない。今度は、リスクがトンネルからクラウドホスティングプロバイダーへ移動したということだ。

例えばMicrosoft AzureのインスタンスでAlgo VPNを使用している場合でも、もしNSAがあなたを邪悪な人だと考えたならば、彼らはMicrosoftに対してあなたに関する情報を問い合わせることができる。Microsoftはあなたの支払い者情報を持っているからだ。

しかしAlgo VPNには元気付けられるものが備わっている。使い捨てVPNを設定できるのだ。数分で新しいVPNサーバーを起動して、その新しいVPNに接続することができるのだ。終了と同時にインスタンスを削除してしまい、このVPNが存在しなかったようにすることができる。

こうしたサービスは1時間あたり大体0.006ドルほどのチャージだったり、様々なボーナスで更に安く利用できることが期待できる。なので、VPNサービスと契約するよりも遥かに安いものとなる。そして、VPNサーバーを他のVPNユーザーと共有することもないので、遥かに良いパフォーマンスを得ることもできる。例えば、私の設定したAWS VPNサーバーからは、素晴らしいネットワーキング性能が得られている。

Algo VPNは、DigitalOcean、AWS、Microsoft Azure、そしてGoogle Cloud上でのセットアップを簡単にしてくれるが、私は他のホスティングプロバイダーでも利用できるかどうかを見るために、Scalewayでも設定してみた。そして、それは最小のUbuntuクラウドサーバー上で完全にうまく動作した。

もし少しでも技術的な知識を持っているなら、商用のVPNサービスを登録する理由はないと思う。Algo VPNを使ったのでそう思うようになった。私は自分自身では当局に自分のデータを渡すことはないと信じている(まあ当然だ)。私は世界のAmazonたちやGoogleたちが私のプライバシーのために戦ってくれるとは必ずしも信じてはいないが、私のホスティングデータをサードパーティの広告会社や、詐欺師たちに売ることはないだろうと思っている。彼らの消費者向けサービス内の私の個人情報に関しては、あまり安心してはいないが、それはまた別の記事のトピックとすることにしよう。

[ 原文へ ]
(翻訳:Sako)