VPNの所在地表記と実際のトラフィック出口国が一致しない

 (ipinfo.io)
11 ポイント 投稿者 GN⁺ 2025-12-14 | 2件のコメント | WhatsAppで共有
  • 主要なVPN 20サービスを分析した結果、17サービスで実際のトラフィック出口が公称の国と異なっており、多くが米国や欧州の同じデータセンターを使用していた
  • 15万件超のVPN出口IPを測定した結果、**38か国は「完全な仮想専用」**で、実際のトラフィックはその国から出ていなかった
  • Mullvad、IVPN、Windscribeだけが全ての国で公称と実際の所在地が一致し、他は大きな不一致があった
  • **「仮想ロケーション」**とは、VPNが特定の国として表示していても、実際には別の地域(例: マイアミ、ロンドンなど)からトラフィックが出る構成を指す
  • VPNの対応国数の主張と実際の物理的所在地の乖離は、透明性と信頼性の問題につながっており、IPinfoはこれを解決するためにProbeNetベースの実測データ手法を使用した

大規模VPN所在地不一致調査の結果

  • IPinfoは人気VPN 20サービスを分析し、17サービスで実際のトラフィック出口国が異なることを確認
    • 一部のVPNは100か国以上に対応すると主張しているが、実際には米国・欧州の少数のデータセンターを共有していた
  • 合計15万件の出口IPを137か国基準で測定
    • 38か国は仮想専用で、どのVPNでも実際のトラフィックはその国から出ていなかった
    • 3つのVPNのみが、公称された全ての所在地を実際に確認できた
    • 既存データセットでは約8,000件のIP位置誤りが見つかった
  • ProbeNetの測定結果では、大半のVPNが主張より少ない実在国数しか持っていなかった

VPNごとの実測結果

  • 各VPNの公称国数と実測された国数を比較
    • Mullvad、IVPN、Windscribeは不一致 0% で完全一致
    • NordVPN、ExpressVPN、CyberGhostなどは半数以上が仮想または測定不可だった
  • VPNの国数が多いほど不一致率も高く、「100か国超」主張は信頼しにくい

仮想ロケーション(Virtual Location)の意味

  • VPNが「バハマ」や「ソマリア」と表示していても、実際のトラフィックは米国マイアミや英国ロンドンから出ている場合がある
    • IP登録情報も自己申告ベースで「Country X」と表示されるが、実際のネットワーク測定では別の国として現れる
  • IPinfoのProbeNetは、1,200か所超のグローバル測定地点を通じて**実際のRTT(往復遅延時間)**ベースで所在地を確認する
  • 全体データでは97か国が仮想または測定不可で、そのうち38か国は完全に仮想ロケーションとしてのみ存在していた

ケーススタディ: バハマとソマリア

  • バハマ: NordVPN、ExpressVPN、PIA、FastVPN、IPVanishはいずれも米国でトラフィックが測定された
    • RTTはマイアミ基準で 0.15〜0.42ms で、実際に米国内のサーバーであることを示唆する
  • ソマリア: NordVPNとProtonVPNは「Mogadishu」と表示するが、実際のトラフィックはフランス・ニース英国ロンドンで測定された
    • RTT 0.33〜0.37ms から、欧州内サーバーであることが確認された

既存IPデータセットの誤り

  • 既存のIPデータ提供者は自己申告ベースの情報を使うため、VPNの誤った所在地表記をそのまま受け入れてしまう
  • ProbeNetの測定と既存データセットの間で736件のVPN出口IPを比較した結果:
    • 1,000km以上の誤差 83%5,000km以上の誤差 28%8,000km以上の誤差 12%
    • 中央値の誤差は約 3,100km
  • ProbeNetは平均RTT 0.27ms、90%が1ms以下で、実際の物理的位置への近接性を確認した

信頼性の問題と技術的な理由

  • 仮想ロケーションを使う技術的理由
    • 規制・監視リスクの回避インフラ品質の差コスト削減と性能向上
  • しかし信頼性の問題は次の点から生じる
    • 明示的な開示不足: 「Virtual Bahamas (US-based)」のように表示しない
    • 規模の問題: 数十か国が全て仮想ロケーションとしてしか存在しない
    • データ依存性: メディア、NGO、セキュリティシステムなどが誤った所在地情報を信頼する危険がある

ユーザーへの示唆

  • 「100か国超」表示はマーケティング上の数字とみなすべき
    • 17のVPNで97か国は実在しなかった
  • VPNの所在地表示方式を確認する必要がある: 仮想サーバーかどうか、実際のホスティング場所を公開しているか
  • IPデータを活用する際は出所の検証が必要: 単なる正確性指標よりも、測定ベースのデータかどうかを確認すべき
  • VPN利用自体の問題というより、透明性と証拠ベースのデータの重要性を強調している

IPinfoの測定ベース手法

  • 既存のIPデータ提供者はRIR登録情報と自己申告データに依存している
  • IPinfoはProbeNetベースの実測方式を採用
    1. **1,200か所超のPoP(測定地点)**を運用
    2. RTTベースのリアルタイム測定でIPv4・IPv6アドレスの所在地を把握
    3. 証拠ベースの地理情報により、実際のインターネット動作に基づく所在地を算出
  • このアプローチは、自己申告の誤りを減らし、実測データ中心の精度確保を目指す

調査方法論

  • 20のVPN事業者のWebサイト、設定ファイル、APIなどから600万件超のデータポイントを収集
  • 各VPNロケーションに直接接続して出口IPとRTTを測定
  • VPNが主張した国ProbeNetが測定した実際の国を比較
  • 明確に主張された所在地のみを分析対象に含め、曖昧または測定不能な場合は除外
  • その結果、保守的な基準でも高い不一致率が確認され、より緩い基準を適用すれば不一致率はさらに高くなる可能性がある

関連記事

2件のコメント

 
princox 2025-12-15

わあ、こんなことまでごまかして商売しているケースもあるんですね……;;; 問題が多いですね。
 
GN⁺ 2025-12-14
Hacker Newsの意見

  • 私はWonderProxyの共同創業者だ。うちのサービスは消費者向けVPNではなくアプリテスト用なので、リストには入っていなかった。
    100か国以上で運用しているが、これは本当に厄介な問題だ。初期にはメキシコや南米だと主張する供給業者が、実際にはテキサスにいたケースが多かった。
    一時は自分でサーバーをペルーに持ち込もうとしたが、現地で稼いだ収益に対してペルーの所得税を払わなければならないと知って断念した。
    競合が中東地域のサーバーを提供していると聞いて顧客が苦情を言ってきたが、調べてみるとドイツのサーバーから1ms未満の距離だった。

  • Mullvadで働いている人を何人か知っているが、彼らはセキュリティとプライバシーを本気で重視している。だから今回の結果は驚きではない。

    • 中国のGFWの内側からでもMullvad、Windscribe、IVPNは動いたが、もっと有名なVPNは動かなかった。VPNにも本物のVPNがあるということだ。
    • 記事を見る前から、Mullvadはテストを通過すると確信していた。
    • Mullvadは使えば使うほど気に入る。他のVPNは時間がたつほど悪くなるのに、これは逆だ。暗号資産ウォレット決済で匿名性を保てる点が特に良い。
    • WindscribeとiVPNも高く評価されていたが、今回の記事はVPNの虚偽マーケティングを指摘する内容だ。VPNはセキュリティを大きく強化するわけではないが、検閲回避や地域制限の解除には有用だ。Psiphon、Lantern、Torのような専用ネットワークのほうが強力だと思う。

  • 私はある国の市民でありながら別の国の居住者なので、VPNをよく使う。政府サイトへのアクセスでさえVPNなしでは無理だ。
    統計局のサイトは外国IPからアクセスすると404になるが、VPNを有効にすると正常に動く。選挙放送を見るのにもVPNが必要だった。
    税務申告はVPNがブロックされるので切らなければならないが、海外居住者のIPは許可されている。
    居住者向けIPを使うVPNがあるなら、月30ユーロ払ってもいいと思う。だが、ほとんどは信頼しにくい。

    • 友人や家族の家にTailscaleを入れたApple TVを置いておけば、それをexit nodeとして使って接続できる。私もそうしている。
    • 私も同じ状況なので、TunnelBuddy(https://tunnnelbuddy.net) を自分で作った。WebRTCベースで、友人が一度だけパスワードを共有すれば、その家から接続しているかのようにインターネットを使える。
    • その国に友人がいるなら、Raspberry Piをモデムの後ろに挿しておくのも手だ。
    • 居住者向けIPは月額定額ではなくGB課金なので高い。通常は1GBあたり2ドル以上する。
    • 単に母国のローミングSIMカードを使って政府サイトにアクセスするという手もある。

  • レイテンシー(latency) で実際のサーバー位置を推定できるのは興味深い。だが、VPNが人為的に100〜300msの遅延を追加すればごまかせるのではないか?
    たとえば74.118.126.204はソマリアのIPだとされているが、ipinfo.ioではロンドンと識別される。curl ipinfo.io/74.118.126.204/jsoncurl ipwhois.app/json/74.118.126.204 を比較してみればよい。

    • ping時間は光速よりもホップ数と接続品質の影響を強く受けると思う。
    • サーバー応答時間からパスワードハッシュを推定できるのと同じで、ノイズは単なるノイズにすぎない。
    • IPinfoは複数地域から同時にpingを送り、多辺測量(multilateration) で位置を計算している。600台以上のプローブサーバーを運用しているそうだ(出典)。
    • すべてのパケットに遅延を追加しても、結局はロンドンが最も低遅延を示すはずだ。
    • 複数の国からpingを送れば、三角測量で実際の位置を突き止められる。

  • たいていのVPN事業者は、実際には「仮想ロケーション(virtual location)」であることを公開している。だから完全な嘘とは言い切れない。
    VPNの地理的位置表示の基準をどう定めるべきかは興味深い問題だ。実際のサーバー位置を表示すべきだろうか、それともユーザーが選んだ国を見せるべきだろうか?
    私は後者のほうが有用だと思う。顧客が「どこにいたいのか」を示しているからだ。
    (参考までに、私は競合サービスの運営者で、うちもVPNが報告する位置を表示しているが、VPNであることは明示している)

  • ProtonMailへ移行する際にProtonVPNを使ってみたが、VPNを有効にするとWebサイトの半分が動かない。Hacker NewsでさえVPNをブロックする。
    サイト側がVPNエンドポイントを見分けるのがますます簡単になっているが、今後VPNがこれをどう防ぐのか気になる。

    • AppleはPrivate Relayを通じて、サイトが接続を許可するよう圧力をかけられた。VPNが一般化すれば、結局サイト側も受け入れざるを得なくなるだろう。
    • VPNやTorの利用者が増えれば、サイト側はブロックしにくくなる。みんながTorを使う世界が理想だ。全員が同じに見えれば差別はできない。
    • RedditはVPNを有効にするとシャドウバン(shadow ban) してくる。通知もないので、コメントに誰も反応しないときはプライベートセッションで自分のプロフィールを確認する必要がある。
    • Torも同じだ。匿名性はあるが、同時に目立つ存在にもなる。
    • VPN利用が増えれば、サイト側のほうがむしろ損をする。特にモバイル利用者はVPNを常時オンにしていることが多い。
      サイトがVPNをブロックすると、ユーザーは不便に感じて離れていく。
      モバイルのユーザーエージェント偽装が役立つかもしれない。SSLとHTTPのフィンガープリントもモバイルっぽく合わせる必要がある。
      無料ティアのあるVPNは避けたほうがいい。有料VPNほどIPレピュテーションが良い。

  • 今回のテストが正確に何をしたのか、いまひとつわからない。主要なVPNがいくつか抜けているのも不思議だ。
    私はAirVPNを使っている。自分の用途と価格が合っているからだ。
    VPNを使う理由はさまざまだ――プライバシー、匿名性(おすすめしない)、地域制限の解除、トレント、検閲回避(GFC) など。
    最後のものがいちばん難しい。
    参考リンク: VPN Services Overview

    • テストはVPNの実際の終了ノード位置を確認したものだ。多くの事業者はIPのWHOIS情報だけを書き換え、実際のサーバーは別の国に置いている。

  • 国単位のファイアウォールを回避するにはexitノードの位置が重要だが、GeoIP業界そのものにも問題がある。
    ISPが RFC8805 を通じて、ユーザーが地域ブロックを回避できるよう助けてくれればいいのにと思う。

    • CGNATが広がるにつれて、ポート単位の位置情報が必要になるかもしれない。例: 10000〜20000番ポートはニューヨーク、20000〜30000番ポートはボストン、など。
    • OFAC制裁を経験したことがない人の発言に聞こえる。うちの事業は制裁違反をしたら即終了だ。
      地理IP情報はこうしたリスクを避けるための中核的なツールだ。
    • DNSのPTRレコードのように、この情報を扱えればいいのに。

  • RTT(往復遅延時間)だけでバックボーンネットワークの知識まで推定するのは無理があると思う。
    トラフィックは常に効率的にルーティングされるわけではなく、転送経路はトラフィック量によって変わる。ほかの意見も聞いてみたい。

    • 効率的なルーティングを仮定する必要はない。ロンドンから1ms未満のRTTが出るなら、物理的に英国外ではありえない
      光速の限界から、0.4msのRTTなら最大120kmの距離だ。これでサーバーが主張する国にないことは確実にわかる。
    • 光速で計算すれば、0.5ms未満のRTTは測定された国が正しいことを意味する。光ファイバー内の速度は屈折でさらに遅くなるので、誤差はもっと小さくなる。
    • 「細部を見落としているかもしれない」という話について――そう、物理学を見落としているようだ。ロンドンからサブミリ秒のpingが出るなら、それはモーリシャスではない。