自国の政府がVPN接続を遮断しました。何を使うべきでしょうか?

 (news.ycombinator.com)
5 ポイント 投稿者 GN⁺ 2025-08-29 | 3件のコメント | WhatsAppで共有
  • インドネシアは現在混乱状態にあり、今日の午前に政府がTwitterとDiscordへの接続を遮断した
  • ニュースが主にそれらのチャネルを通じて広まることを把握していたため
  • 通常はCloudflareのWARPを使えば遮断を回避できるが、今日は接続が遮断された。どんな代替手段を使うべきだろうか?

関連記事

3件のコメント

 
bju2000 2025-09-08

VPN まで遮断する国を果たして自由国家と言えるのだろうか…
 
roxie 2025-09-08

中国、インドネシア、英国、オーストラリア、… 思ったよりあちこちにある問題ですね
 
GN⁺ 2025-08-29
Hacker Newsの意見

  • 私は2020年代初頭に主要VPNプロバイダで検閲回避の仕事をしていた経験があります

    • 最初の段階は、実際のVPNソフトウェアと設定ファイルを入手することです。検閲を意識している業者は、S3のようなブロックしにくいチャネルや難読化されたパッケージでプログラムを配布し、ときには現地団体と協力して安全に配布します
    • ソフトウェアを入手したら、難読化レイヤーを追加して使うことを勧めます
    • Obfs4proxyというツールがよく使われており、事前共有鍵を使ってトラフィックを取るに足らないものに偽装し、VPNハンドシェイクも隠します。完全に安全というわけではありませんが、たいていのDPI(ディープパケットインスペクション)は突破できます
    • Shapeshifter(Operator Foundation製)やその他のプラガブルトランスポート方式もあるので試す価値があります。ただし、プロバイダ側がこのプロトコルをサポートしている必要があります
    • 長期的に最も難しいのは、VPNを使っていること自体を気付かれないことです。長期的な統計分析では、難読化があってもVPN接続は検知でき、国家がそれを監視する場合、比較的安価に実装できます。インドネシアの状況はよく知らないので、具体的な助言はできません
    • Mullvadは信頼できて技術力のあるVPN事業者だと思います。(私はMullvadに所属したことはなく、実際には競合でした。あちらのアプローチは常に尊重していました)

    • 短波放送の大手事業者のどこかが、VPNパッケージ自体を公共サービスのようにデータ放送で世界中に送信してくれたらいいのにと思います

    • Obfs4proxyはトラフィックを取るに足らないものに見せると言われましたが、実際にはDPIがランダムなバイト列だと判断して未知のプロトコルとして分類し、ブロックしてしまう可能性があります。むしろDPIにHTTPSだと信じ込ませるような細工の方が有利です。もちろんHTTPS自体まで止められたら意味はありません

    • MullvadのDAITAのように、トラフィック分析を防ぐため一定の帯域パターンで送信する仕組みについてどう思うか気になります

    • TLS分割(fragmented TLS)やパケット順序の入れ替えのようなトリックも効果があり、単純にHTTPSトランスポートだけ使っても多くの場所で出発点としては十分です。URnetworkというオープンソースの分散システムはこうした機能をすべて提供しています。主要ストアやF-Droidでも入手できます

    • Obfs4proxyやShapeshifterの導入は本当に面倒で時間がかかります

      • 自分でVPSを用意して(欧州/米国で年$10前後なら2GB RAM、40GBディスク、月TB単位のトラフィックが可能)、欧州リージョンを勧めます
      • そこにwireguard+難読化ツール、またはtailscale+独自DERPサーバーを設置
      • もっと簡単なのは、ssh -DポートをSOCKSサーバーとして使う方法です。たいていはブロックされませんが、トラフィック特性上かなり目立ちます

  • 中国でしばらく暮らし、何度もVPN遮断の波を経験しました。今ではほとんどのVPN会社が遮断国対応を諦めています。商用VPNは結局、いつか必ず塞がれます

    • 私が使った方法は、海外リージョンの無料EC2にSOCKS5サーバーを立てて端末から接続することです。Cloudflare VMもこの用途に向いていそうです
    • 個人トラフィックしか流れないので目立ちにくく、そのリージョンにある無数のサーバーの中から国家側が簡単に見分けるのは難しいです
    • 不自由なインターネット環境で生き延びるコツとして、GitHubはブロックされていないので(中国基準)、関連資料やダウンロードを現地エンジニアが置いていました
    • static IPで身元が気になるなら、VMもただのコンピュータなので、その上にさらにVPN接続を重ねて匿名性を高められます

    • VPSのパブリックIPブロックは広く知られているので、中国ではこの方法は効かないと聞いたことがあります。中国のファイアウォールに対しては有効な解決策ではないという話です

    • VMインスタンスをVPNトンネルとして使うのは良いのですが、中国の内外をまたぐ実際のインターネット帯域は非常に制限されているので、トラフィック処理能力に限界があります。より良い構成は、ファイアウォールの両側にVMを置き、同じホスティングサービス内で内外VM間のピアリングを使うことです(Alibaba Cloudがその例です)。内側のVMはsocatやnetfilterのようなツールで簡単に作れます

      • 難読化ツールも必ず使った方がいいです
      • ブロックされたら外側VPNのIPだけ変えて設定を更新すればよく、内側VMのIPはほとんど変える必要がありません

    • 私も以前、中国で働いていたとき(長く住んでいたわけではありませんが頻繁に行っていました)、自分の所有サーバーでOpenVPNを443番ポートか22番ポートで待ち受けさせていて、これでたいてい問題なく接続できました

    • 2年前にはインドネシアでもGitHubが一時的にブロックされ、主要通信事業者の一つでSSHも一時的に遮断されたことがありました

  • インドネシア在住者として、最近X(Twitter)やDiscordがブロックされたというニュースを見た記憶はありません。2024年に成人向けコンテンツの件でXをブロックする可能性があると言われたことはありました

    • 直接このサイトでリアルタイムのブロック状況を確認できます
    • VPN接続ができないとのことですが、一部業者が昔ブロックされたことはあるものの、この5年間はそうしたことはありませんでした
    • なので、インターネット事業者(通信会社)を変えて試してみるのも一つの方法です

  • 検閲回避に関する質問には、ここ(Hacker News)はあまり適切な場所ではないと思います

    • Tor、Tailscale、WireguardベースのVPN、Mullvadなど自前構築ばかり勧める傾向がありますが、実体験が乏しそうです
    • 中国/ロシア/イラン向けのVPNだけ探せば十分です。プライバシーはMullvadほどではなくても、確実に動きます

    • もし私が中国・ロシア・イランの情報機関なら、そういう高リスク国向けVPN事業者を装って反体制派の情報を集めるハニーポットに使います

    • 私の感覚では、技術的に自信がある個人にとって最も安全なのは、海外クラウドで小さなインスタンスサーバーを立てて、sshフォワーディング+プロキシで情報にアクセスする方法です

      • 例としてSquid Proxy設定ガイドを参照
      • 政府がsshトラフィックまでは止めていないので、この方法なら高いプライバシーとブロック回避の両方が可能です

    • よく知られた方法や業者を勧めるからといって、検閲回避の経験がないと決めつけるのには同意できません

      • 匿名の業者や一時しのぎの方法は、結局ウォータリングホール攻撃にさらされる可能性があります

    • 外側を信用しないなら、その上にさらに別のVPNを重ねて使うこともできます

    • 宣伝しているVPNは商業目的なので、たいてい国家のスパイ機関が関与している可能性が高いです

      • 少なくとも見かけ上は動作します(ブロックされたサイトにアクセスできます)。
      • どこの情報機関が運営しているかによって、本当にプライバシーが守られることもあれば、逆に特定ユーザーとして追跡されてトラフィックを保存されることもあります
      • 私は、企業が支配できない無料の(オープンソース)ソフトウェアの方が良いと思います

  • オーストラリアや英国も、まもなくこの道を進むかもしれないと思います

    • 苦々しいのは、私たち(HNユーザー)は回避策を見つけられても、一般市民には予算も技術力も足りず、政府や大手メディアが市民ジャーナリズムを効果的に封じ込められてしまう現実です

    • 6か月前ならこんな話を笑っていた気がしますが、今は現実味があって心配です(英国)

    • オーストラリアでは以前から、政治的理由でこういう事態が起きると警告してきました

      • 技術論争ではなく、政治は技術のことなど気にしません
      • 少しずつこういう方向へ進んでいることを、みんなが認識するべきです
      • 2017年、マルコム・ターンブル首相いわく: "重要なのは数学の法則ではなく、オーストラリアの法律だけだ"

    • 社会の力を過小評価する必要はないと思います。

      • 英国の貧困地域で育ちましたが、周囲にはいつもコンピュータやテレビの闇売買、電気のバイパス工事、海賊版CDやビデオを手配してくれる「そういう詳しい兄ちゃん」がいました
      • 結局、Raspberry Piのような安価なハードウェアでプロキシを設置してくれる「一軒おきに一人」みたいな人が出てくるでしょう
      • 正直に言えば、私もIT業界で失業したらそういう役回りをやってみようと思っています

    • 米国の一部保守州(レッドステート)でも、もうすぐ試みられる気がします。ポルノサイトのID認証法が効果を上げていないので、次の段階に進むでしょう

    • 「市民ジャーナリズム」の90%は実際にはジャーナリズムではなく、ワクチン研究をする市民科学と同じようなものです

  • Tor: ユーザーフレンドリーで導入しやすく、匿名性が高く無料です。ただし検閲の標的になりやすく遅く、exit nodeはほぼすべてのサイトで信用されません

    • Tailscale+Mullvad exit: インストールして設定するだけというレベルで簡単で、Torより速く、用途も広いです。欠点はDPIでMullvadトラフィックだと判別されうることと費用がかかることです
    • 自分でVPSにWireguardまたはTailscale: ほぼすべてを制御でき、速度も選べ、知人と共有も可能です。欠点は多少の運用ノウハウが必要で、月額20〜30ドル以上のホスティング費用が見込まれることです

    • Tailscaleは、OP(質問者)がMullvad.netにアクセスして登録できない場合にだけ必要です

      • インドネシア政府がMullvadノードをブロックしたら、どんな小細工をしても意味がありません
      • VPS経由でアクセスしようとしても、外部(Webサイト)からはIP固定のせいで識別されやすすぎます
      • 私のおすすめは、海外VPSにMullvadかTorを設置し、トラフィックをそのVPSへ迂回させることです。複数デバイスで同時に使うなら、VPSをTailscale exit nodeにするのが一番簡単です

    • Wireguard対応VPSは年$20〜30でもあるので、月20〜30ドルというのは誤記っぽいです。vpspricetracker.comで安いVPSを探せます

    • NordVPNやProtonVPNもMullvadと似た立ち位置です。無料ならあなた自身が商品ですし、有料でも結局トラフィックは公に知られたVPNサーバーへ向かうので、一部の国ではそのメタデータだけでも危険になりえます

      • 必ず注意して使うべきです

    • VPSのIPは居住地IPではないので、一部のサイトやサービスではVPS経由のアクセスをブロックされたり、追加確認を求められたりします

      • より良い解決策があるわけではありませんが、留意点ではあります

    • Torにはsnowflakeなどの反検閲技術もあります。ブロックの強度が高いなら、Torが最も効果的かもしれません

  • 中国でよく仕事をしていますが、私のWireGuard VPN(自宅に設置)は今のところ一度もブロックされたことがありません

    • VPNサーバーのドメインではHTTPSサービスも同時にホストしていて、それが役立っているのかもしれません
    • 以前はDO dropletでshadowsocks(オープンソースのプロキシ)とobfs(難読化)を使っていましたが、最近はv2ray+vmess/vless+realityが主流です
    • こちらはVPNではなくプロキシなので、本質の偽装がしやすく、回避効果が高いです
    • パブリックVPSでホストすればAWSやDOまでブロックするのは負担が大きいので潜伏性はありますが、その一方で明白なVPN endpointとしてトラフィックパターン上目立つこともあります
    • redditのr/dumbclubに現時点の情報が少し残っているので参考になります
    • こうした構成自体は作るのが難しい点も考慮すべきです。私もWireGuardが生き残っているのは奇跡だと思っています
    • 特別な選択肢としてローミングSIMがあります。ローミングでは本来、自分の通信事業者本国へトラフィックがトンネリングされるので、中国でもブロックされません。サーバー接続やプロキシ設定など、緊急時に役立ちます

  • ウズベキスタンを旅行中ですが、wireguardプロトコルそのものがブロックされていて驚きました。

    • 自分のサーバーにwireguardで接続するのは普段問題なかったのですが、今回はプロトコル全体がブロックされるのを初めて経験しました
    • 何が、どうブロックされているのかを事前に確認してVPNプロバイダを選ぶことが重要です

    • wireguardが塞がれる場所では、wireguardをwstunnelに通して回避した経験があります

    • wireguard自体はネットワークパターンが目立ち、難読化を目指してもいません

      • いくつかのツールは443/TCPに偽装します

    • 単に二台のコンピュータが安全にトンネルを作るための一つのプロトコルを、政府が丸ごと塞いでしまうのは不思議です

    • wireguardプロトコルのブロックは、近いうちに英国でも現実になるかもしれないと思います

      • これからはハッカーの役割がずっと重要になるでしょう

  • XRay/XTLS-Reality/VLESSもかなりよく動きます。中国ですら検知が難しいとされています

    • 中国のファイアウォールのおかげで、検閲回避技術はかなり進化しました。XRayの話をしてくれた人がいてうれしいです!

    • sing-boxというプロジェクトも使えます(プロジェクトリンク)。

      • 私の使い方は、アプリやサービスごとにルーティングを変え、たとえば銀行アプリは5Gモデム、米国内の銀行はUS residential proxy、それ以外はVPNを通す、というものです(Androidのroot化は不要です)
      • こうした高度な機能も中国のファイアウォールのおかげで生まれました

    • トラフィックがすべて単一のWebサイトに集中したら、むしろそれ自体が疑わしく見えないのだろうかという疑問があります

  • Mastodonは政権に完全にブロックされにくく、ほとんどのインスタンスはTor利用を禁止していません。

    • 実際、ブラジルでXがブロックされたとき、Mastodonには大規模な流入がありました
    • joinmastodon.orgでさらに詳しい情報が見られます

    • 個別サーバー(mastodon.socialなど)は個別にブロックしやすいのではないかという懸念があります

    • プロトコルレベルのブロックも、思っているより簡単に可能です。VPNをブロックする国は、単純なIPブロックからプロトコルブロックへと急速に進化する傾向があります