Surfsharkは安全?セキュリティ、プライバシー、監査分析
Surfsharkは安全?独立監査の結果、暗号化プロトコル、管轄地分析、キルスイッチのテスト、ノーログポリシーの検証。
Surfsharkは安全?直接的な評価
Surfsharkのトラストスコアは85/100です。オランダの管轄下で運営され、AES-256-GCM暗号化を使用し、Deloitteによる独立監査で検証された厳格なノーログポリシーを維持しています。100カ国以上に3,200台以上のサーバーを擁し、キルスイッチ保護、DNSリーク防止、RAMオンリーサーバーインフラを提供しています。Surfsharkはほとんどのユーザーにとって安全です。
管轄地とデータリクエストへの影響
Surfsharkは2021年に法的本部をイギリス領ヴァージン諸島からオランダに移転しました。オランダはEU内に位置しますが、VPNプロバイダーにとって特定の利点があります。オランダの法律では、VPN企業にユーザーデータの保持を義務付けていません。
オランダは9 Eyes情報共有同盟に加盟しています。これはプライバシー擁護者の一部に懸念を与えます。しかし、同盟への加盟は、政府がリクエストできるデータをプロバイダーが保存している場合にのみ重要になります。検証済みのノーログポリシーはこのリスクを完全に無効化します。
オランダ当局が有効な法的リクエストを発行した場合、Surfsharkは保有しているものしか提供できません。透明性レポートによると、Surfsharkは政府からのリクエストを受け取っており、データ転送数はゼロで対応しています。同社は物理的に、閲覧記録、接続タイムスタンプ、IPアドレスのログを提出することができません。
独立監査の履歴
DeloitteノーログAudit
Deloitteは2023年にSurfsharkのノーログインフラの独立監査を完了しました。Big Fourの会計事務所がサーバーの設定、展開プロセス、内部データ処理手順を調査しました。DeloitteはSurfsharkのインフラが公表されているノーログポリシーと一致していることを確認しました。
この監査は、同じ範囲をカバーする2022年のDeloitteによる以前の審査に続くものです。両方のアセスメントで、どのサーバーにもユーザーアクティビティのログが存在しないことが確認されました。
Cure53セキュリティ監査
ドイツのサイバーセキュリティ会社であるCure53は、2018年にSurfsharkのブラウザ拡張機能を監査しました。チームは2件の重大な脆弱性、2件の高深刻度の脆弱性、および2件の中深刻度の脆弱性を特定しました。Surfsharkは監査レポートが公開される前にすべての6件の問題にパッチを適用しました。
Cure53はまた、2021年にSurfsharkのサーバーインフラのフォローアップ評価を実施しました。そのレビューでは重大な脆弱性は見つかりませんでした。同社は、最初の審査以降、Surfsharkのセキュリティ体制が大幅に改善されたと指摘しました。
これらの監査の意味
2つの別々の企業がSurfsharkのプライバシーとセキュリティの主張を検証しました。Deloitteはログの慣行に焦点を当て、Cure53は技術的な防御をテストしました。合わせて、これらの監査はどちらか単独よりも強力な保証を提供します。
ログポリシーの詳細
Surfsharkのプライバシーポリシーは、同社が収集するものと収集しないものを正確に明記しています。マーケティングの主張よりも、この区別の方が重要です。
Surfsharkが保存しないもの
- 閲覧履歴またはトラフィックの宛先
- VPNへの接続に使用したIPアドレス
- 接続または切断時間を示すセッションタイムスタンプ
- ネットワークトラフィック量または帯域幅消費
- 接続中に行われたDNSクエリ
Surfsharkが収集するもの
Surfsharkはアカウント管理のためにメールアドレスと暗号化されたパスワードを保存します。サードパーティの決済プロバイダーを通じて処理された請求情報を収集します。同社はパフォーマンス改善のために匿名化された診断データとクラッシュレポートを収集します。
Surfsharkはまた、集計された接続頻度データを追跡します。これは、ユーザーが1日に何回接続するかは把握できますが、いつどこで接続したかは把握できないことを意味します。このデータは個々の閲覧セッションや訪問したウェブサイトを特定することはできません。
RAMオンリーサーバーインフラ
3,200台以上のSurfsharkサーバーはすべて、揮発性RAMメモリのみで動作します。つまり、すべてのサーバーは再起動時にすべてのデータを自動的に消去します。物理的なサーバーの押収があっても、使用可能な情報は得られません。このアーキテクチャにより、Surfsharkのノーログの主張は単なるポリシーベースではなく、技術的に実施可能なものになっています。
暗号化標準とプロトコル
SurfsharkはデフォルトのサイファーとしてAES-256-GCM暗号化を使用しています。この標準は世界中の機密政府通信を保護しています。現在のコンピューティング技術でAES-256を破ることができる既知の攻撃はありません。
利用可能なプロトコル
| プロトコル | 速度 | セキュリティレベル | 最適な用途 |
|---|---|---|---|
| WireGuard | 最速 | 高 | 日常的なブラウジング、ストリーミング |
| OpenVPN UDP | 中程度 | 非常に高い | 最大限の互換性 |
| OpenVPN TCP | 遅い | 非常に高い | 制限的なネットワーク |
| IKEv2 | 速い | 高 | モバイルデバイス |
WireGuardはほとんどのSurfsharkアプリのデフォルトプロトコルとして機能します。匹敵するセキュリティを維持しながら、OpenVPNより約40%高速です。SurfsharkはWireGuardの静的IP割り当てに関する既知のプライバシー制限に対処するため、WireGuardの上にダブルNATシステムを追加しています。
OpenVPNは20年の実績を好むユーザーも引き続き利用できます。UDPとTCPの両方の変種は、AES-256データチャネル暗号化と並行して4096ビットRSAハンドシェイクキーを使用します。
キルスイッチの動作とDNSリーク保護
SurfsharkはWindows、macOS、iOS、Android、Linuxアプリにキルスイッチを搭載しています。この機能はVPN接続が予期せず切断された場合にすべてのインターネットトラフィックをブロックします。これにより、短時間の切断中に実際のIPアドレスが漏洩するのを防ぎます。
キルスイッチはデスクトッププラットフォームではシステムレベルで動作します。パケットが暗号化されずに漏れる前に、ネットワークアダプタのレベルでトラフィックをインターセプトします。モバイル実装では、OS制約内で同様の保護を実現するためにプラットフォーム固有のAPIを使用します。
DNSリーク保護
Surfsharkはネットワーク内のすべてのサーバーでプライベートDNSを実行しています。すべてのDNSクエリは暗号化されたトンネルを通じてSurfshark管理のリゾルバーにルーティングされます。これにより、ISPなどのサードパーティDNSプロバイダーからのDNSリークリスクが排除されます。
dnsleaktest.comとipleak.netでの独立したテストでは、SurfsharkのすべてのプロトコルオプションでDNSリークがゼロであることが一貫して示されています。IPv6リーク保護はデフォルトで有効になっており、IPv4 VPNトンネルをバイパスする可能性のあるIPv6トラフィックをブロックします。
過去のセキュリティインシデント
2025年初頭の時点で、Surfsharkは確認されたデータ侵害またはサーバーの侵害を受けていません。Surfsharkのインフラに関連する公開された侵害データベースにユーザーデータが掲載されたことはありません。
2020年、セキュリティ研究者がSurfsharkのWindowsアプリケーションの潜在的な脆弱性を指摘しました。この問題は、理論的には権限昇格を可能にする古いOpenSSLライブラリに関するものでした。Surfsharkは開示から48時間以内にパッチをリリースしました。実際に悪用された事例は記録されていません。
2018年のCure53による監査は、最も重大な脆弱性の発見を表しています。ブラウザ拡張機能で見つかった6件の問題は、公開前に解決されました。Surfsharkは問題を早期に発見するためのバグバウンティプログラムを重視しています。同社は有効な脆弱性を責任を持って開示した外部研究者に報酬を支払っています。
Surfshark固有のセキュリティ機能
CleanWeb
CleanWebはDNSレベルで広告、トラッカー、マルウェアドメインをブロックします。2023年にはユーザーベース全体で10億件以上のトラッキング試みを防止しました。この機能は別個のブラウザ拡張機能をインストールしなくても動作します。
MultiHop(ダブルVPN)
MultiHopは異なる国の2つのVPNサーバーを同時に経由してトラフィックをルーティングします。これにより、第二の暗号化レイヤーが追加され、トラフィック相関攻撃がはるかに困難になります。ユーザーはプリセットのサーバーペアから選択するか、カスタムの組み合わせを作成できます。
Nexusテクノロジー
Surfshark Nexusはユーザーを単一のサーバーではなく、サーバーネットワーク全体に接続します。トラフィックは1つのサーバーから入り、SDNルーティングを使用して別のサーバーから出ることができます。これにより、3,200台以上のサーバー間でIPローテーションとロード分散が改善されながら、レイテンシが低下します。
Alternative ID
Alternative Idは使い捨てのメールアドレスとオンラインペルソナを生成します。ユーザーは実際の個人情報を公開せずにサービスに登録できます。この機能は、接続レベルのプライバシーのみに焦点を当てる競合他社とSurfsharkを差別化します。
Rotating IP
Surfsharkは、VPNセッションを切断せずに5〜10分ごとに表示されるIPアドレスを変更します。接続を維持したまま、デジタルフィンガープリントが継続的に変化します。これにより、Webサイト間での長期的な追跡が大幅に困難になります。
よくある質問
Surfsharkはログを保持しますか?
Surfsharkは閲覧アクティビティ、IPアドレス、接続タイムスタンプ、帯域幅使用量のログを保持しません。Deloitteは2022年と2023年の独立監査でこの主張を検証しました。同社はアカウントの認証情報と匿名化された集計接続データのみを保存します。
Surfsharkはハッキングされたことがありますか?
Surfsharkはハッキングや侵害を受けたことはありません。2018年のCure53による監査でブラウザ拡張機能の脆弱性が発見されましたが、公開前にパッチが適用されました。Surfsharkのインフラを通じてユーザーデータが侵害されたことはありません。バグバウンティプログラムが潜在的な弱点を積極的に特定するのに役立っています。
Surfsharkは信頼できますか?
Surfsharkはデロイトとキュア53による2つの独立監査、RAMオンリーサーバー、定期的な透明性レポートを通じて信頼を獲得しています。85/100のトラストスコアは、監査頻度の改善余地はあるものの、強固な技術的保護措置を反映しています。30日間の返金保証により、リスクなくサービスをテストできます。
Surfsharkは私のデータを見ることができますか?
Surfsharkはあなたの閲覧データや接続の詳細を見ることができません。RAMオンリーサーバーにより、データの永続的な保存が防止されます。AES-256暗号化により、転送中のデータが保護されます。インフラがユーザートラフィックを記録または保存しないように設計されているため、Surfsharkの従業員でさえユーザートラフィックにアクセスすることはできません。