ダウンロード
ブログに戻る
プライバシー··9 分で読めます

VPNが検閲を回避する仕組み(そして回避できない場合)

言語: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

インターネット検閲はここ数年でずっと精密になっており、VPNが今もそれを回避できるかという問いに一言の答えはありません。ブロックがどのように行われるか、そしてVPNが何を隠すために何をするかにかかっています。

手短な答え: VPNはトラフィックを暗号化で包み、検閲されたネットワークの外にあるサーバーを経由させることで、ほとんどの検閲を通り抜けます。そのためフィルターには、あなたが何を読んでいるのかも、トラフィックがどこへ向かうのかも見えません。これは通常のブロックに対しては機能します。しかし最近のディープパケットインスペクションに対しては、VPN自体がブロックされる対象になり得ます。

要点

  • VPNはトラフィックの行き先中身をネットワークから隠し、これによってIPブロック、DNSの改ざん、キーワードフィルタリングを無効化します。
  • ディープパケットインスペクション(DPI)は、暗号化された中身を読むわけではありません――トラフィックのをフィンガープリントで捉え、そもそもVPNを使っているのではないかと推測します。
  • DPIが積極的に使われる場所では、標準的なVPNプロトコルは検知されて速度を落とされたりブロックされたりし得ます。難読化(obfuscation)や「ステルス」モードが存在するのはこのためです。
  • 確実に回避できるVPNはありません。最も厳しくフィルタリングされたネットワークでは、それは動く標的であり、どの単一アプリよりも、複数のツールを持っていることのほうが重要です。

手短な答え

あなたの生のインターネットトラフィックを、はがきだと考えてみてください。それを扱う人は誰でも、宛先と本文を読めます。検閲するネットワークは中間に座り、特定の場所宛てのはがきや、特定の言葉を含むはがきの配達を拒みます。VPNは、そのはがきを封をした不透明な封筒に入れ、一つの信頼できる宛先――VPNサーバー――へ送り、サーバーがあなたに代わってそれを転送します。ネットワークには、あなたがある封筒を送ったことは依然として見えますが、最終的にどこへ向かうのかも、中に何が入っているのかも見えません。

このたった一つの変化が、最も一般的な形の検閲を一度に無効化します。やっかいなのは――そしてこの記事が一文で終わらない理由は――封筒そのものに見分けのつく形がある、という点です。それこそが、現代の検閲が探すようになったものです。

インターネット検閲の実際の仕組み

国家レベルやネットワークレベルの検閲は、一つの技術ではありません。それは複数の技術の積み重ねで、たいていは重ねて使われます:

  • IPアドレスのブロック。 最も単純な方法:あるサーバーアドレスの一覧との間のトラフィックをすべて破棄します。安価で大ざっぱで、別のアドレス経由で同じコンテンツに到達することで簡単に回避できます。
  • DNSの改ざん。 あなたのデバイスが「このサイトのアドレスは何か」と尋ねたとき、ネットワークが嘘をつきます――間違った答えを返すか、何も返しません。日常的なブロックの多くはこれだけで、だからこそ最もすり抜けやすい層でもあります。
  • SNIフィルタリング。 暗号化されたHTTPS接続でさえ、最初のハンドシェイクは通常、訪れているサイト名を平文で示します(Server Name Indication)。フィルターはその名前を読み、禁止されたドメインへの接続を切り、それ以外はそのままにします。
  • キーワードとコンテンツのフィルタリング。 暗号化されていないトラフィックでは、ネットワークが禁止された語句を走査し、それに応じてブロックしたり記録したりできます。
  • 速度制限(throttling)。 完全にブロックする代わりに、ネットワークがサービスを使い物にならないほど遅くします。否認可能で――何も「ブロック」されていません――プラットフォーム全体に対して使われてきました。
  • ディープパケットインスペクション。 最も高度な層であり、VPNが実際に立ち向かわなければならないものです。これについては後で詳しく述べます。

VPNの暗号化されたトンネルは、最初の4つを静かに処理します。ネットワークは、読めないトラフィックに対してSNIフィルタリングやキーワードフィルタリングを行えませんし、トンネル内で行われるDNSリクエストを改ざんすることもできません。そのトンネル自体の仕組みを知りたい場合は、VPNトンネルとは何か、どう機能するかで説明しています。

ディープパケットインスペクションとは

ディープパケットインスペクションは、そもそもVPNの検閲を可能にしている技術です。その名前は少し誤解を招きます:暗号化されたトラフィックに対しては、DPIはパケットの中身を読んでいません。読めないからです。それが検査するのは、中身の周りにあるすべて――メタデータと接続の統計的なパターンです。

どのプロトコルにも、いわば訛りのようなものがあります。標準的なVPNのハンドシェイクには、特徴的なパケットサイズ、タイミング、バイトのパターンがあり、ふつうのウェブ閲覧とは違って見えます。DPIシステムは、そうした訛りを認識するように訓練されています。実質的にこう問うのです:この接続は、読めないとしてもVPNのように見えるか。答えが「はい」のとき、システムは接続の速度を落とすか、リセットするか、宛先サーバーをブロックリストに加えられます――どれも一切復号することなく。

新しいシステムはアクティブプロービングでさらに一歩進みます。疑わしい接続を見つけると、宛先サーバーがどう応答するかを確かめるため、自前のテストトラフィックを送ります。サーバーが既知のVPNと同じように応答すれば、ブロックされます。一部の国家ファイアウォールは、こうしてVPNサーバーがオンラインになって数分以内にそれを発見し、停止させます。

VPNはどうやって通り抜けるか

では、これらすべてを踏まえて、VPNは検閲されたネットワークでなぜ今も機能するのでしょうか。二つの方法があり、それらは重なります。

一つ目は、すでに説明した基本的なもの、暗号化です。トンネルがトラフィックの行き先と中身の両方を隠すため、アドレス、DNS、コンテンツに基づくブロックの一群はそもそも当てはまりません。世界の大多数のネットワーク――職場のフィルター、学校のネットワーク、ホテルのWi-Fi、DNSとSNIに頼る多くの国家的ブロック――にとっては、これがすべてです。VPNが機能するのは、検閲側がブロックリスト以上に高度なものを何も作っていないからです。

二つ目は難読化(obfuscation)で、これはDPIが関わる場所でのみ意味を持ちます。難読化とは、VPNトラフィックがあの見分けのつく訛りを持たないように変装させる手法です。トラフィックをかき混ぜてランダムなノイズのように見せるツールもあれば、ふつうのHTTPS――通常のウェブ閲覧を運ぶのと同じプロトコル――に似せて包むことで、それをブロックすれば日常のインターネットを壊すことになるようにするツールもあります。プロトコルレベルの詳細はさまざまで、たびたび変わります。これはいたちごっこだからです:検閲側はフィンガープリントを更新し、回避ツールは変装を更新し、その循環が繰り返されます。正直に言えば、難読化は時間と到達範囲を稼ぐものであって、恒久的な勝利ではありません。

VPNがブロックされる場面

限界についてははっきり言っておく価値があります。多くの宣伝はそうしないからです。VPNが通り抜けさせてくれない理由はいくつかあります:

  • プロトコルがフィンガープリントで特定される。 標準的なWireGuardとOpenVPNのハンドシェイクはよく研究されています。それらを見つけるよう調整されたDPIシステムは、読めなくても接続の速度を落としたり破棄したりできます。これがVPNが国家規模でブロックされる、最も一般的な方法です。
  • サーバーがブロックリストに載っている。 商用のVPNサーバーは既知のアドレス範囲を使います。検閲側は同じサービスを購入し、アドレスを列挙し、まとめてブロックします。事業者は到達可能であり続けるため、アドレスを回し続けなければなりません。
  • アクティブプロービングがサーバーを見つける。 上で述べたとおり、ネットワークは疑わしいサーバーをテストし、VPNのように応答するものをブロックします。
  • 既定ですべてがブロックされている。 一部のネットワークはモデルを完全に逆にします:許可リストに載っていない限り何も接続できません。そこでの問いは、あなたのVPNが検知されるかどうかではなく、許可された何かを模倣できるかどうかです。

こうしたことのどれも、検閲下でVPNが無用だという意味ではありません――まったくその逆です。意味するのは、プロトコルと事業者の技術力が重要だということ、そして体験が「いつも機能する」というよりも「手間はかかるが機能する、ときにはサーバーやモードを切り替える」というものだということです。OONIのような独立した測定グループが、どのツールやプロトコルがどこでブロックされているかを追跡しており、その状況は実際に月ごとに移り変わります。

2026年のイラン、ロシア、中国

最もよく議論される三つの事例は、同じいたちごっこを異なる段階で示しています。

中国のシステムは最も古く、最も洗練されています。DNSの改ざん、SNIフィルタリング、大規模なDPI、アクティブプロービングを組み合わせ、回避を一度勝てば終わるものではなく、管理し続けるべき恒久的な技術課題として扱います。素のVPNプロトコルは日常的に検知されます。生き残るものは、たいてい難読化に頼ります。

ロシアは2025年と2026年を、大ざっぱなブロックから中国モデルへと移行することに費やし、検査機器をネットワーク全体に配備し、速度を落とせるプロトコルやサービスの範囲を着実に広げてきました。2026年の報道は、VPNブロックの波、それに応じて手法を回す各サービス、そしてこの規模でのフィルタリングに伴う巻き添え被害――ブロックが誤作動したときの通常の銀行業務やメッセージングの障害を含みます――を記録しました。

イランは、重いフィルタリングと、周期的でほぼ全面的な遮断を組み合わせており、国民のきわめて大きな割合が日常的に回避ツールを通じて開かれたインターネットに到達しています。これは需要が検閲側を上回る最も明確な例です:ブロックは厳しく、人々は絶えず適応し、各ツールが標的にされるたびにツールを切り替えます。

共通する筋は、三つすべてにおいて、VPNは必要だがそれ単体では十分ではない、ということです。接続を保ち続ける人々は、たいてい複数のツールを持ち、切り替えることを前提とし、信頼性を一度買うものではなく自分で維持するものとして扱います。

これがあなたにとって何を意味するか

積極的にフィルタリングする場所でVPNを選んだり頼ったりしているなら、正直で実践的な点をいくつか:

  • ブランドよりプロトコルが重要。 接続がDPIを生き延びるかどうかは、プロトコルと、アプリが難読化や「ステルス」モードを備えているかで決まり、ロゴでは決まりません。
  • バックアップを持つ。 検閲されたネットワークで最も信頼できる戦略は冗長性です――複数のツールを持ち、一つが標的にされても切り離されないようにします。
  • 必要になる前に準備しておく。 まだアクセスが開いているうちに、ツールをダウンロードして設定しておきましょう。回避ツールは取り締まりの際に最初にブロックされることが多いものです。
  • 法的な状況に注意する。 一部の国ではVPNの利用が制限されていたり、リスクを伴ったりします。これは技術的に機能するかどうかとは別の問題で、VPNの利用は合法かで扱っています。
  • 保証には懐疑的に。 国家ファイアウォールに対して「いつも機能する」と約束する事業者は、誇大に売っています。本当のところは「適切なプロトコルがあれば、しばしば機能し、私たちは適応し続けます」です。

そして見落としやすいプライバシーの点が一つ:検閲を回避するためにすべてをVPN経由にすると、検閲側が見たがっていたまさにそのトラフィックを、その事業者に預けることになります。事業者があなたについて何を保持しているかが、急に大きな意味を持ちます。これこそ、そもそも収集していないものは引き渡せない事業者を選ぶべきという議論のすべてです――「ノーログ」が本当に意味することをご覧ください。

よくある質問

検閲を回避するためにVPNはどう使えばよいですか。 検閲されたネットワークの外にあるサーバーをインストールして接続します。トラフィックは暗号化されてそこを経由するため、ドメイン、DNS、コンテンツのブロックはもう当てはまりません。ディープパケットインスペクションのあるネットワークでは、アプリに難読化やステルスモードがあればオンにし、サーバーを切り替える準備をしておきましょう。

ネットワークは私がVPNを使っているとわかりますか。 ときにはわかります。トラフィックは読めませんが、ディープパケットインスペクションは、接続がそのパターンだけからVPNのように見えることをしばしば検知できます。難読化は、まさにそれを難しくするために設計されています。

制限を回避するためにVPNを使うのは違法ですか。 国によって完全に異なります。世界の大半ではVPNの利用は合法で、一部の国が制限または禁止しています。ツールの合法性と、それで何をするかの合法性は別の問題です――どちらもVPNの合法性に関するガイドで扱っています。

検閲下でVPNは接続するのに何も読み込まれないのはなぜですか。 たいていはハンドシェイクは通ったものの、ネットワークが認識したVPNトラフィックの速度を落としたりリセットしたりしているか、サーバーのアドレスがブロックリストに載っています。別のサーバーや難読化されたプロトコルに切り替えるのが、よくある対処です。

結論

VPNはトラフィックの行き先と中身を隠すことで検閲を回避し、これによってほとんどのネットワークが頼る通常のブロックを無力化します。ディープパケットインスペクションに対しては、勝負はVPNがVPNのように見えることを避けられるかどうかへ移ります――それは現実の、続いているいたちごっこで、そこではプロトコル、事業者の技術力、バックアップを持つことが、無敵だという約束より重要です。自分がどの種類のブロックに直面しているかを理解すれば、宣伝のものではなく現実的な期待を持てます。

Snap VPNはWireGuardで動き、アカウントもメールも求めず、トラフィックログを一切保持しません――ですから検閲側が強制的に取得したがるデータは、私たちが持っていないデータです。世界で最も攻撃的なファイアウォールへの保証された答えとしてではなく、日常のプライバシーのために作られており、私たちはそれを率直に言うほうを選びます。App Storeで入手できます。

Sofia Lindqvist
Privacy & policy writer