vpn

ProtonVPNは安全?セキュリティ、プライバシー、監査分析

ProtonVPNは安全?独立監査の結果、暗号化プロトコル、管轄分析、キルスイッチテスト、ノーログポリシーの検証。

VPN.com Editorial Team · ·9 分で読めます

ProtonVPNは安全?セキュリティとプライバシーの徹底分析

ProtonVPNは、スイスの管轄、監査済みノーログポリシー、AES-256-GCM暗号化に基づき、88/100の信頼スコアを獲得しています。このサービスは120か国以上にわたる15,000台以上のサーバーを運営しています。Securitumによる独立監査によって、ユーザーアクティビティのログが記録されていないことが確認されています。スイス法は、外国からのデータ要求や大規模監視に対して強力なプライバシー保護を提供しています。

スイスの管轄と、あなたのデータへの意味

ProtonVPNは、スイスのジュネーブに本社を置くProton AGのもとで運営されています。スイスは、5 Eyes、9 Eyes、14 Eyesの監視同盟には加盟していません。この違いは、多くのマーケティング上の主張が示す以上に重要です。

スイス法では、当局がデータの開示を強制するには、有効なスイスの裁判所命令が必要です。外国政府からの要求は、相互法律援助条約(MLAT)のプロセスを経なければなりません。スイスの裁判所は、国内の法的基準を満たさない要求を却下します。

スイスの連邦データ保護法は、世界で最も厳格なプライバシーの枠組みのひとつとして位置づけられています。この法律は一括監視を禁止し、データ収集における比例性を義務付けています。現行のスイス法令の下では、ProtonVPNはバックドアの設置やリアルタイムの通信傍受を強制されることはありません。

ひとつ重要な点があります。スイス当局は、有効な裁判所命令に基づき、特定のアカウントについて今後のログ記録を開始するようProtonVPNに強制することができます。ただし、ProtonVPNが収集していない過去のデータを要求することはできません。ノーログポリシーにより、遡及的な監視は技術的に不可能です。

ProtonVPNの監査履歴

ProtonVPNは複数の独立したセキュリティ監査を受けており、数年にわたって信頼できる透明性の実績を築いています。

2019年、SEC ConsultはProtonVPNのWindows、macOS、Androidアプリケーションを監査しました。監査では、低から中程度の深刻度と評価された複数の脆弱性が特定されました。Protonは報告されたすべての問題を修正した上で、完全な監査レポートを公開しました。

欧州のサイバーセキュリティ企業であるSecuritumは、2022年にノーログポリシーの監査を実施しました。監査人はProtonVPNのサーバーインフラを調査し、閲覧アクティビティ、接続タイムスタンプ、IPアドレスのいずれも保存されていないことを確認しました。Securitumは、ノーログに関する主張が実際のサーバー設定と一致していることを確認しました。

2023年には、Securitumがセキュアコアサーバーを含むProtonVPNの更新されたインフラを対象にフォローアップ監査を実施しました。結果は以前の発見を再確認するものでした。すべての監査レポートはProtonのウェブサイトで公開されており、独立した検証が可能です。

ProtonはすべてのVPNクライアントアプリケーションをオープンソース化しています。これにより、あらゆるセキュリティ研究者がコードを検査して脆弱性や隠れたログ記録メカニズムを確認できます。オープンソースのアプローチは、定期的な監査を超えた恒久的な説明責任の層を加えています。

ProtonVPNのノーログポリシー:実際に保存されるもの

ProtonVPNのプライバシーポリシーは、サービスが収集するものとしないものを明示しています。「ノーログ」という言葉はプロバイダーによって意味が異なるため、この区別は重要です。

収集しないもの: 閲覧履歴、DNSクエリ、トラフィックの内容、接続タイムスタンプ、セッション時間、送信元IPアドレス、または割り当てられたVPN IPアドレス。ProtonVPNはいかなる状況下でもこれらのデータポイントを保存しません。

収集するもの: メールアドレスや支払い情報を含むアカウント作成データ。ProtonVPNは最後に成功したログイン試行のタイムスタンプも保存します。このタイムスタンプは新しいログインのたびに上書きされるため、過去のログイン履歴は蓄積されません。

このタイムスタンプは、アカウント間での認証情報の不正使用を防ぐためだけに存在します。どのサーバーに接続したか、どのくらいの時間接続したか、何にアクセスしたかは明らかにできません。このアプローチは、最小限のアカウントセキュリティニーズと最大限のプライバシーのバランスを取っています。

ProtonVPNは支払いをサードパーティを通じて処理し、追加の匿名性のためにビットコインも受け付けています。ユーザーは匿名のProtonMailアドレスと仮想通貨で登録でき、実質的にゼロの識別情報しかファイルに残りません。

暗号化標準とプロトコルオプション

ProtonVPNはデータチャネルのデフォルトとしてAES-256-GCM暗号化を採用しています。この暗号は既知のいかなる攻撃にも突破されていません。NSA自身もAES-256を最高機密情報の保護に認定しています。

このサービスは4つのVPNプロトコルをサポートしています。WireGuardは現代的な暗号技術を用いて、対応する接続で400 Mbpsを超える速度を実現します。OpenVPNは4096ビットRSA鍵交換を使用してUDPとTCPの両モードで動作します。IKEv2/IPSecはモバイルデバイスでの高速再接続を提供します。ステルスプロトコルはVPNトラフィックをTLSでラップし、ディープパケットインスペクションを回避します。

パーフェクトフォワードシークレシーは、セッションごとに固有の暗号化キーを生成します。攻撃者が1つのセッションキーを侵害しても、過去および将来のすべてのセッションは保護されたままです。ProtonVPNはサポートされているすべてのプロトコルでこれを強制しています。

キルスイッチの動作とDSNリーク保護

ProtonVPNのデスクトップアプリケーションには2つのキルスイッチモードが含まれています。標準キルスイッチは、VPN接続が予期せず切断された際にインターネットトラフィックをブロックします。永続キルスイッチは、ProtonVPNを手動で切断した場合でも、VPN以外のすべてのトラフィックをブロックします。

永続キルスイッチは、VPNトンネル外での偶発的な閲覧を完全に防ぎます。この機能は、単一の露出した接続がリスクをもたらす高監視環境のジャーナリスト、活動家、およびユーザーを対象としています。

DNSリーク保護は、すべてのDNSクエリをProtonVPN独自のDNSサーバーにルーティングします。このサービスはすべてのVPNサーバーにDNSリゾルバーを運営し、サードパーティDNSの関与を排除しています。独立したテストツールは、アクティブな接続中のDNS、IPv6、WebRTCのリークがゼロであることを一貫して確認しています。

Androidでは、ProtonVPNはオペレーティングシステムの常時接続VPNおよびVPNなしの接続をブロックする機能と統合されています。これらはアプリ自体から独立したシステムレベルのキルスイッチ保護を提供します。

過去のセキュリティインシデントとProtonの対応

ProtonVPNには、サーバー侵害やユーザーデータ漏洩の既知の履歴はありません。最新の情報時点で、ユーザートラフィックやアカウント認証情報を侵害した確認済みのハッキングは発生していません。

2019年、サードパーティのセキュリティ研究者がWindowsクライアントにローカル権限昇格の脆弱性を発見しました。ProtonVPNは48時間以内に報告を認識し、同週内にパッチを配布しました。この脆弱性はローカルマシンへのアクセスを必要とし、実際に悪用されたことはありませんでした。

Protonの親サービスであるProtonMailは、2021年に注目度の高いインシデントに直面しました。スイス当局が有効な裁判所命令に基づき、特定の活動家のIPアドレスを記録するようProtonMailに強制しました。ProtonVPNは、スイス法がVPNサービスを監視規制の観点からメールとは異なる扱いをしていることを明確にしました。同社はその後、法人の保護を強化するために法的組織を移転し、受け取った政府要求を詳述する透明性レポートを公開しました。

Protonは現在、受け取った法的要求の数と異議申し立てを記録した年次透明性レポートを公開しています。2023年、Protonは6,000件以上の要求を受け取り、法的審査後に約4,000件に応じました。VPNユーザーに関しては、対応によってProtonが保有する限られたアカウントデータのみが提供され、閲覧アクティビティは決して含まれませんでした。

ProtonVPN独自のセキュリティ機能

セキュアコアは、出口サーバーに到達する前に、スイス、アイスランド、スウェーデンの堅牢なサーバーを経由してトラフィックをルーティングします。このダブルホップアーキテクチャは、侵害された出口サーバーが実際のIPアドレスを露出させることから保護します。セキュアコアサーバーは、Protonが高セキュリティのデータセンターに所有する専用ハードウェアで動作します。

NetShieldは、ProtonVPNのサーバーに組み込まれたDNSレベルの広告、マルウェア、トラッカーブロッカーです。デバイスに到達する前に悪意のあるドメインをフィルタリングし、ネットワークレベルで脅威をブロックします。NetShieldはユーザーデータを一切処理しません。フィルタリングはトラフィックの検査ではなく、DNS解決を通じて行われるためです。

VPNアクセラレーターは並列接続技術を使用して、長距離のサーバー接続での速度を400%以上向上させます。この技術は、遠距離のサーバーへの接続に関連する典型的な速度低下を排除します。

Tor over VPNは、指定されたサーバーを通じてTorネットワークへの組み込みアクセスを提供します。ユーザーはTorブラウザを別途インストールすることなく、.onionサイトにアクセスできます。VPN層により、ISPがTorの使用を検出することを防ぎます。

ProtonVPNはWindows、Android、Linuxでのスプリットトンネリングもサポートしています。これにより、特定のアプリをVPNトンネル外にルーティングしながら、他のすべてを保護できます。

よくある質問

ProtonVPNはログを保持していますか?

ProtonVPNは閲覧アクティビティ、DNSクエリ、IPアドレス、接続タイムスタンプをログに記録しません。保存される唯一のデータは、最後に成功したログインの上書きされる単一のタイムスタンプです。Securitumは2022年と2023年にこのポリシーを監査・確認しました。オープンソースのコードベースにより独立した検証が可能です。

ProtonVPNはハッキングされたことがありますか?

ProtonVPNのサーバーやユーザーデータの侵害が確認されたことはありません。2019年のWindowsクライアントにおけるローカル権限昇格のバグは、発見から数日以内に修正されました。この脆弱性は実際のユーザーに対して悪用されたことはありませんでした。Protonはバグバウンティプログラムを運営し、責任ある脆弱性の開示を奨励しています。

ProtonVPNは信頼できますか?

ProtonVPNは、管轄、監査、透明性の実践に基づいた信頼性指標で88/100を獲得しています。スイスの法的保護、複数の独立監査、オープンソースコードにより、検証可能な説明責任が確立されています。Protonは受け取ったすべての政府要求を記録した年次透明性レポートを公開しています。同社の10年の運営履歴には、データ漏洩インシデントがゼロです。

ProtonVPNは私のデータを見ることができますか?

AES-256-GCM暗号化がトンネルの内容を保護しているため、ProtonVPNはあなたの閲覧データを見ることができません。同社のサーバー設定はトラフィックログをディスクに書き込みません。Securitumはインフラ監査中にこのアーキテクチャを検証しました。裁判所命令があった場合でも、ProtonVPNは保有する最小限のアカウントデータのみを提供できます。