オンラインプライバシーを保護するために真剣にVPN（仮想プライベートネットワーク）を使用しているにもかかわらず、WebRTC（Webリアルタイムコミュニケーション）という機能が、あなたの実際のIPアドレスを密かに漏洩させる可能性があります。

WebRTCとは？

WebRTCは「Webリアルタイムコミュニケーション」の略です。これは、ウェブブラウザやモバイルアプリケーションに、追加のプラグインやソフトウェアをインストールすることなく、簡単なAPIを通じてリアルタイム通信（RTC）機能を提供するオープンソースプロジェクトです。これにより、ブラウザ内で直接、音声通話、ビデオチャット、ピアツーピアのデータ共有が可能になります。ビデオ会議、オンラインゲーム、ファイル転送サービスなどを想像してみてください。多くがWebRTCを内部で利用しています。

WebRTCの仕組み

ピアツーピア通信を実現するため、WebRTCは主に二つの課題を克服する必要があります。

IPアドレスの発見: 通信を行うデバイスは、直接接続を確立するために互いのIPアドレスを知る必要があります。
NATトラバーサル: ほとんどのデバイスはNAT（ネットワークアドレス変換）ルーターの背後にあり、プライベートIPアドレスを持っており、インターネットから直接アクセスできません。

これらを解決するために、WebRTCは以下のプロトコルを使用します。

STUN (Session Traversal Utilities for NAT): STUNサーバーは、デバイスが自身のパブリックIPアドレスを発見し、背後にあるNATの種類を特定するのに役立ちます。ブラウザがWebRTC接続を確立しようとすると、STUNサーバーにリクエストを送信し、STUNサーバーはあなたのパブリックIPアドレスとポートを報告します。
TURN (Traversal Using Relays around NAT): STUNが直接のピアツーピア接続を確立できない場合（例：厳格なNATタイプのため）、TURNサーバーはリレーサーバーとして機能し、2つのピア間のすべてのトラフィックを転送できます。これは通常、遅延が増加するため最後の手段として使われます。
ICE (Interactive Connectivity Establishment): ICEフレームワークはSTUNとTURNを組み合わせて、ピアツーピア接続を確立するための最適なパスを見つけます。直接接続、STUNを介した接続、TURNリレー接続など、可能なすべての接続方法を試します。

WebRTCの目標はリアルタイム通信を簡単かつ効率的にすることですが、その設計は意図せずしてプライバシーリークの扉を開いてしまいました。

WebRTC IPリークはどのように発生するのか？

VPNを使用している場合、すべてのネットワークトラフィックは暗号化されたトンネルを介してVPNサーバーにルーティングされ、実際のIPアドレスが隠蔽され、接続がVPNサーバーの場所から発信されているように見えます。しかし、WebRTCリークは、WebRTCリクエストがこのVPNトンネルを迂回することがあるために発生します。

これは、ブラウザがWebRTCを実装する方法に基づいています。

実際のIPの直接発見: ピアツーピア接続を確立するためには、WebRTCが潜在的な接続候補を検出する必要があります。これには、ローカルエリアネットワーク（LAN）のIPアドレスとパブリックIPアドレスが含まれます。VPNに接続している場合でも、ブラウザはICEフレームワークを実行して可能なすべてのIPアドレスを発見します。
STUNリクエストがVPNを迂回する: ブラウザがパブリックIPアドレスを発見するためにSTUNサーバーにリクエストを送信する際、これらのリクエストはVPNトンネルを強制的に通過しない場合があります。特定の構成や状況では、ブラウザがこれらのUDPリクエストをSTUNサーバーに直接送信し、STUNサーバー、そしてそれをクエリできるウェブサイトにあなたの実際のパブリックIPアドレスを露出させてしまいます。
JavaScriptによるアクセス: 悪意のあるウェブサイトやスクリプトは、ブラウザのWebRTC APIを利用してこれらのSTUNリクエストを開始し、JavaScriptコードを介して返されたIPアドレスを読み取ることができます。ブラウザは通常、ウェブサイトがLAN IPアドレスに直接アクセスすることを制限しますが、パブリックIPアドレスに関する情報は漏洩する可能性があります。

結果として、悪意のあるウェブサイト、あるいは単に設計のまずい正当なウェブサイトであっても、あなたの知らぬ間にJavaScriptを使って簡単なWebRTC呼び出しを実行し、STUNサーバーからあなたの実際のIPアドレスを抽出できます。これはVPNがアクティブな状態であっても起こり得ます。これにより、VPNの保護が無効になり、オンライン追跡者があなたのVPNを迂回できるようになります。

以下の図は、WebRTCリークがあなたの実際のIPをどのように露出させるかを示しています。

WebRTCリークの危険性があるのは誰か？

VPNに依存して実際のIPアドレスを隠している人は誰でも、WebRTCリークの影響を受ける可能性があります。これには特に以下のような人々が含まれます。

プライバシーを重視するユーザー: ジャーナリスト、活動家、その他オンラインでの匿名性を求める人々。
地域制限を回避するユーザー: 実際の場所で制限されているコンテンツやサービスにアクセスしようとする個人。
追跡を懸念するユーザー: ウェブサイト、広告主、インターネットサービスプロバイダー（ISP）にオンライン活動を追跡されたくない人々。

WebRTCリークは、VPNの核となる約束、つまりIPアドレスを隠し、オンライン活動が個人に遡及できないようにするという約束を損ないます。ウェブサイトがIPアドレスから何を得られるかについてさらに詳しく知りたい場合は、私たちの記事「ウェブサイトがIPから見るもの」をご覧ください。

WebRTCリークの検出方法

WebRTCリークの検出は比較的簡単です。チェックに役立ついくつかのオンラインツールがあります。

VPNに接続する: VPNが有効で正常に機能していることを確認します。
WebRTCリークテストツールにアクセスする: ブラウザでWebRTCリークテストウェブサイトを開きます（多くのVPNプロバイダーやプライバシー重視のサイトがこれらのツールを提供しています）。
結果を確認する:
- リークなし: テストがVPNサーバーのIPアドレスのみを表示し、実際のパブリックIPやLAN IPの痕跡を示さない場合、WebRTCリークはない可能性が高いです。
- リークあり: テストが実際のパブリックIPアドレス、またはVPNに関連しないLAN IPアドレスを明らかにした場合、WebRTCリークが存在することを示します。

一部のテストツールはLAN IPアドレス（例：192.168.x.xや10.0.x.x）を表示する場合がありますが、これらはプライベートIPアドレスであり、インターネットから直接ルーティングできないため、通常は重大なプライバシー問題ではありません。主な懸念は、あなたの実際のパブリックIPアドレスが漏洩しているかどうかです。

WebRTCリークを防ぐ/無効にする方法

使用しているブラウザやリアルタイム通信機能の必要性に応じて、WebRTCリークを防ぐ方法はいくつかあります。

ブラウザ固有の方法

Firefox

Firefoxでは、高度な設定からWebRTCを無効にできます。

アドレスバーに about:config と入力し、Enterキーを押します。
「危険を承知の上で続行」をクリックします。
検索バーに media.peerconnection.enabled と入力します。
その設定をダブルクリックして、値を true から false に切り替えます。

欠点: この設定を無効にすると、すべてのWebRTC機能が完全にブロックされます。つまり、FirefoxでWebRTCベースのビデオ通話、音声チャット、ピアツーピアのデータ転送機能を使用できなくなります。

Chrome/Edge/Brave/Opera

これらのChromiumベースのブラウザには、通常、WebRTCを直接無効にする組み込みオプションはありません。ブラウザ拡張機能に頼る必要があります。

WebRTC Leak Shield (Chrome/Edge/Brave/Opera用): これらの拡張機能は、すべてのWebRTCトラフィックをVPNインターフェース経由で強制するか、WebRTCがシステム上で実際のIPアドレスを検出するのをブロックすることで、リークを防ぐように設計されています。
uBlock Origin (およびその他のコンテンツブロッカー): uBlock Originのような一部のコンテンツブロッカーは、高度な設定やカスタムフィルタリングルールを通じてWebRTCの動作をブロックまたは変更することを許可します。関連するフィルタや設定を探してみてください。

欠点: 拡張機能は権限を必要とする場合があり、それ自体がセキュリティ上の脆弱性を導入するリスクが常にあります。評判が良く、オープンソースの拡張機能を選択することが重要です。

Safari

Safariは通常、WebRTCの実装がよりプライバシー重視であるため、WebRTC IPリークの影響を受けにくい傾向があります。デフォルトで、ウェブサイトがあなたのパブリックIPアドレスに直接アクセスするのを制限します。直接的な「無効化」オプションはありませんが、次のことができます。

Safariメニューで、「設定」>「詳細」を選択します。
「メニューバーに”開発”メニューを表示」にチェックを入れます。
新しい「開発」メニューで、「実験的な機能」を見つけて、WebRTC関連のオプションを探すことができますが、通常、手動で無効にする必要はありません。

VPNが提供するWebRTC保護

一部の高品質VPNサービスプロバイダーは、ソフトウェアにWebRTCリーク保護を組み込んでいます。これは、VPNクライアントがWebRTCリクエストを積極的に傍受または変更し、実際のIPアドレスが漏洩しないようにすることを意味します。プライバシーのためにVPNに依存している場合は、この機能を提供するVPNを選択することをお勧めします。VPNについてより広く理解するためには、私たちの記事「VPNとプロキシの比較」もご覧ください。

その他の予防措置

スクリプトブロッカーを使用する: NoScriptのようなツールは、ウェブページ上のJavaScriptをブロックし、WebRTC APIを利用するスクリプトが実行されるのを防ぎます。ただし、これは多くのウェブサイトの機能に深刻な影響を与えます。
ブラウザの選択を検討する: Torブラウザのような一部のプライバシー重視のブラウザは、デフォルトでWebRTCリークを防ぐための対策が組み込まれています。

WebRTCを無効にすることが常に最善の解決策なのか？

WebRTCを無効にすることはトレードオフです。

利点: オンラインプライバシーが大幅に向上し、WebRTCのコンテキストで実際のIPアドレスが隠されたままになります。
欠点: 多くのウェブサイトやサービスは、コア機能のためにWebRTCに依存しています。例えば：
- ビデオ会議アプリケーション（Google Meet, Zoom, Jitsi Meetなど）
- オンライン音声チャット（Discord）
- ストリーミングプラットフォーム
- ピアツーピアファイル共有サービス
- 一部のオンラインゲーム

WebRTCを完全に無効にすると、これらの機能は動作しなくなります。

推奨事項: より微妙なアプローチを検討してください。

デフォルトで無効にする: 一般的なブラウジングとプライバシーのためにWebRTCを無効にしておきます。
必要に応じて有効にする: WebRTCに依存する特定のサービスを使用する必要がある場合にのみ、ブラウザの設定や拡張機能を介して一時的に有効にします。
専用のブラウザを使用する: WebRTCに依存するサービス専用に一つのブラウザを使用し、それ以外の時間はWebRTCが無効になっているブラウザを使用します。

WebRTCリークとDNSリークの違い

WebRTCリークとDNSリークはどちらもオンラインプライバシーを侵害しますが、そのメカニズムは異なります。

WebRTCリーク: 実際のパブリックIPアドレス（および場合によってはLAN IP）を直接露出させます。STUNサーバーに直接リクエストを送信することで、VPNトンネルを迂回します。
DNSリーク: ドメインネームシステム（DNS）リクエストがVPNトンネルを迂回し、ISPのDNSサーバーに直接送信される場合に発生します。これにより、IPアドレスが隠されていても、ISPはあなたがどのウェブサイトを訪問しているかを知ることができます。

どちらもオンラインプライバシーに対する深刻な脅威です。なぜなら、どちらも第三者があなたのインターネット活動を特定したり、少なくともあなたの所在地やISPに遡及したりする機会を提供するからです。「IPアドレスを保護する方法」を理解することは、包括的なオンラインセキュリティ戦略の重要な要素です。

結論

WebRTC IPリークは、VPNユーザーにとって現実的かつ潜在的なプライバシーリスクです。VPNはオンラインIDを保護する上で非常に効果的ですが、WebRTCの設計方法によっては、意図せずしてあなたの実際のIPアドレスが漏洩する可能性があります。この脆弱性を理解し、それを検出する方法を学び、適切な予防策を講じることは、オンラインプライバシーを維持するために不可欠です。ブラウザの設定、拡張機能、または組み込み保護機能を備えたVPNの選択を通じて、WebRTCの動作を積極的に管理することが、あなたの真のIPアドレスが常にしっかりと隠されていることを確実にする鍵です。小さなウェブ機能によって、自分自身を守るためのすべての努力が台無しにならないようにしましょう。