VPN を使っても追跡される 5 つのケースとその対策

VPN は万能ではない - 追跡が成立する構造を理解する

VPN は IP アドレスの秘匿と通信の暗号化において極めて有効なツールですが、「VPN を使えば完全に匿名になれる」という認識は危険な誤解です。VPN が保護するのは通信経路の一部にすぎず、それ以外の経路やレイヤーから個人を特定する手法は数多く存在します。

この記事では、VPN を使用していても追跡が成立する 5 つの具体的なケースを技術的に解説し、それぞれに対する実践的な対策を提示します。まずは IP 確認さんで VPN 接続時の IP アドレスを確認し、自分の通信がどの程度保護されているかを把握してください。

ケース 1: DNS リークによる接続先の露出

VPN に接続していても、DNS クエリが VPN トンネルの外側を通ってしまう「DNS リーク」が発生すると、ISP やネットワーク管理者にアクセス先のドメイン名が筒抜けになります。

なぜ DNS リークが起きるのか

DNS リークの主な原因は以下のとおりです。

• OS が VPN トンネルを経由せず、直接 ISP の DNS サーバーにクエリを送信する
• VPN クライアントの設定不備により、DNS クエリのルーティングが正しく構成されていない
• IPv6 トラフィックが VPN トンネルの対象外になっており、IPv6 経由で DNS クエリが漏洩する
• Windows の「スマートマルチホーム名前解決」機能が、VPN トンネル外の DNS サーバーにも並行してクエリを送信する

対策

• VPN クライアントの DNS リーク保護機能を有効にする
• DNS over HTTPS (DoH) を有効にし、DNS クエリ自体を暗号化する
• VPN プロバイダが提供する専用 DNS サーバーを使用する
• IPv6 を無効化するか、VPN が IPv6 トラフィックもトンネル経由にしていることを確認する
• IP 確認さんの DNS リークテスト機能で定期的に検証する

ケース 2: WebRTC リークによる実 IP アドレスの露出

WebRTC (Web Real-Time Communication) は、ブラウザ間でのリアルタイム通信を可能にする技術ですが、VPN を使用していてもブラウザが実際の IP アドレスを直接相手に通知してしまう脆弱性があります。

WebRTC リークの仕組み

WebRTC は、通信相手との最適な接続経路を見つけるために STUN (Session Traversal Utilities for NAT) サーバーにリクエストを送信します。このプロセスで、ブラウザはローカル IP アドレスとパブリック IP アドレスの両方を STUN サーバーに通知します。

問題は、この STUN リクエストが VPN トンネルを迂回して送信される場合があることです。悪意のある Web サイトは、JavaScript を使って WebRTC の ICE (Interactive Connectivity Establishment) 候補を取得し、ユーザーの実際の IP アドレスを特定できます。詳細は WebRTC リークの解説記事をご覧ください。

対策

• ブラウザの設定で WebRTC を無効化する (Firefox: about:config で media.peerconnection.enabled を false に設定)
• WebRTC リーク防止の拡張機能をインストールする
• VPN クライアントに WebRTC リーク保護機能がある場合は有効にする
• IP 確認さんで VPN 接続時の WebRTC リークテストを実施する

ケース 3: ブラウザフィンガープリントによる個体識別

ブラウザフィンガープリントは、IP アドレスに一切依存せずにユーザーを識別する技術です。VPN で IP アドレスを隠しても、ブラウザから取得できる多数の属性情報を組み合わせることで、高い精度で個人を特定できます。

フィンガープリントに使われる情報

ブラウザフィンガープリントは、以下のような情報を組み合わせてユニークな識別子を生成します。

• ブラウザの種類とバージョン、OS の種類とバージョン
• 画面解像度、カラー深度、デバイスピクセル比
• インストールされているフォントの一覧
• Canvas API や WebGL API を使ったレンダリング結果のハッシュ値
• AudioContext API によるオーディオ処理の特性
• タイムゾーン、言語設定、キーボードレイアウト
• ブラウザプラグインと拡張機能の一覧
• ハードウェアコンカレンシー (CPU コア数)、デバイスメモリ

これらの情報を組み合わせると、数百万人のユーザーの中から個人を一意に識別できるケースが多いことが研究で示されています。EFF の Panopticlick プロジェクト (現 Cover Your Tracks) によれば、一般的なブラウザ設定では 83.6% のユーザーがユニークなフィンガープリントを持つとされています。

対策

• Firefox の「強化型トラッキング防止」を「厳格」モードに設定する
• Tor ブラウザを使用する (Tor ブラウザはフィンガープリント対策が最も徹底されている)
• ブラウザ分離を活用し、用途ごとに異なるブラウザプロファイルを使い分ける
• Canvas や WebGL のフィンガープリントをランダム化する拡張機能を導入する
• JavaScript を選択的に無効化する (ただし、多くのサイトの機能が制限される)

ケース 4: Cookie とログイン状態による追跡

VPN は通信経路を暗号化しますが、ブラウザに保存された Cookie やログインセッションには一切関与しません。VPN 接続前に Google や Facebook にログインしていた場合、VPN 接続後もそのログイン状態は維持され、サービス提供者はあなたの行動を引き続き追跡できます。

Cookie による追跡の仕組み

サードパーティ Cookie は、あなたが訪問したサイトとは異なるドメインから発行される Cookie です。広告ネットワークはこの仕組みを利用して、複数のサイトにまたがるあなたの閲覧行動を追跡しています。VPN で IP アドレスを変えても、同じ Cookie がブラウザに残っている限り、広告ネットワークはあなたを同一人物として識別し続けます。

さらに、トラッキングピクセルやローカルストレージ、IndexedDB といった Cookie 以外の永続化メカニズムも追跡に利用されます。Cookie を削除しても、これらの代替手段で再識別される「Cookie リスポーン」と呼ばれる手法も存在します。

対策

• VPN 接続前にブラウザの Cookie とキャッシュをクリアする
• サードパーティ Cookie をブロックする設定を有効にする
• プライベートブラウジング (シークレットモード) を活用する
• 用途ごとにブラウザを使い分ける (日常用、プライバシー重視用)
• Cookie の自動削除拡張機能を導入する
• 可能な限り、追跡の少ないプライバシー重視の検索エンジンを使用する

ケース 5: VPN プロバイダ自身によるログ記録

VPN を使用すると、ISP の代わりに VPN プロバイダがあなたの通信を中継する立場になります。つまり、VPN プロバイダは技術的に ISP と同等の情報にアクセスできるのです。「ノーログ」を謳いながら実際にはログを記録していたプロバイダの事例は、過去に複数報告されています。

過去のノーログ違反事例

• 2020 年: UFO VPN、FAST VPN など 7 つの無料 VPN プロバイダが、ノーログを謳いながら 2,000 万件以上のユーザーログを含むデータベースを公開状態で放置していたことが発覚
• 2017 年: PureVPN が FBI の捜査に協力し、ノーログポリシーに反してユーザーの接続ログを提供したことが裁判記録から判明
• 2011 年: HideMyAss が英国の法執行機関にユーザーの接続ログを提供し、LulzSec メンバーの逮捕につながった

信頼できる VPN プロバイダの見分け方

• 独立した第三者機関によるセキュリティ監査を定期的に受けているか (Cure53、PwC、Deloitte など)
• RAM オンリーサーバーを採用しているか (サーバー再起動時にすべてのデータが消去される)
• 本社の所在国がデータ保持義務のない法域にあるか (パナマ、英領ヴァージン諸島、スイスなど)
• オープンソースのクライアントアプリを提供しているか
• ワラントカナリー (令状のカナリア) を公開しているか

VPN プロバイダの選定基準については VPN の解説記事でも詳しく紹介しています。プライバシー保護の技術を体系的に学びたい方には、プライバシー保護の関連書籍も参考になります。

5 つのケースを横断する多層防御の設計

ここまで見てきた 5 つの追跡ケースは、それぞれ異なるレイヤーで機能しています。VPN だけに頼るのではなく、各レイヤーに対応した対策を組み合わせる「多層防御」の考え方が重要です。

レイヤー別の防御マップ

• ネットワーク層: VPN + キルスイッチ + IPv6 無効化
• DNS 層: DNS over HTTPS + VPN 専用 DNS サーバー
• ブラウザ層: WebRTC 無効化 + フィンガープリント対策 + Cookie 管理
• アプリケーション層: ログアウト状態の維持 + プライベートブラウジング
• 信頼層: 監査済み VPN プロバイダの選択 + RAM オンリーサーバー

脅威モデルに応じた対策の選択

すべての対策を常に適用する必要はありません。自分の脅威モデル (誰から、何を守りたいのか) に応じて、対策の強度を調整してください。

• 広告トラッカーからの保護が目的: VPN + Cookie 管理 + サードパーティ Cookie ブロックで十分
• ISP からの閲覧履歴の秘匿が目的: VPN + 暗号化 DNS で大部分をカバーできる
• 国家レベルの監視からの保護が目的: Tor + Tails OS + 物理的なセキュリティ対策まで必要

デジタルフットプリントを最小化するには、技術的な対策だけでなく、オンラインでの行動パターン自体を見直すことも重要です。

2025-2026 年の追跡技術の最新動向

サードパーティ Cookie の廃止とその影響

Google Chrome は 2025 年にサードパーティ Cookie の段階的廃止を進めています。しかし、これは追跡の終わりを意味しません。代替技術として Google の Topics API や Attribution Reporting API が導入されており、Cookie に依存しない新たな追跡メカニズムが構築されつつあります。

さらに、サードパーティ Cookie の廃止により、ファーストパーティデータの価値が相対的に高まっています。ログイン状態での行動追跡や、メールアドレスをキーとしたクロスサイトトラッキングが増加しており、VPN だけでは防げない追跡手法がますます洗練されています。VPN とブラウザセキュリティの両面から対策を講じるには、情報セキュリティの関連書籍も役立ちます。

AI を活用したトラフィック分析

機械学習を用いたトラフィック分析技術が進化しており、暗号化された VPN トラフィックからでも、利用しているサービスの種類を高い精度で推測できるようになっています。パケットのサイズ分布、送受信のタイミングパターン、バースト特性といった特徴量を学習モデルに入力することで、動画視聴、音声通話、Web ブラウジングといったアクティビティの分類が可能です。

デバイスフィンガープリントの高度化

ブラウザフィンガープリントに加えて、デバイスレベルのフィンガープリント技術も進化しています。バッテリーの充電パターン、加速度センサーのキャリブレーション誤差、GPU のレンダリング特性など、ハードウェア固有の微細な差異を利用した識別手法が研究されています。これらはブラウザの設定変更やプラグインでは防ぎにくく、VPN とは完全に独立した追跡経路です。

今すぐ実行できるチェックリスト

VPN を使用しているにもかかわらず追跡されるリスクを最小化するために、以下の手順を順に実施してください。

1. IP 確認さんで VPN 接続時の IP アドレスが変更されていることを確認する
2. DNS リークテストを実施し、DNS クエリが VPN トンネル内を通っていることを検証する
3. WebRTC リークテストで実 IP アドレスが露出していないことを確認する
4. ブラウザの Cookie とキャッシュをクリアし、サードパーティ Cookie をブロックする
5. EFF の Cover Your Tracks でブラウザフィンガープリントのユニーク度を確認する
6. VPN プロバイダの監査報告書とプライバシーポリシーを確認する
7. VPN キルスイッチが有効になっていることを確認する

まとめ

VPN は IP アドレスの秘匿と通信の暗号化において強力なツールですが、DNS リーク、WebRTC リーク、ブラウザフィンガープリント、Cookie 追跡、VPN プロバイダ自身のログ記録という 5 つの経路から、VPN を使用していても追跡される可能性があります。

重要なのは、VPN を「銀の弾丸」として過信せず、各追跡経路に対応した多層防御を構築することです。自分の脅威モデルを明確にし、必要十分な対策を組み合わせることで、オンラインプライバシーを実効的に保護できます。まずは IP 確認さんで現在の接続状況を確認し、一つずつ対策を実施していきましょう。