ブログに戻る
解説·14 分で読める

デコイネットワークとは何か?偽のトラフィックがプライバシーを守る仕組み

デコイネットワークは、本物のブラウジングに見えるフェイクのネットワークトラフィックを生成します。偽のトラフィックは実際のトラフィックと混ざり合い、ISP、ネットワーク運用者、監視システムなど、接続を監視する者が実際にアクセスしたサイトを特定することを格段に難しくします。これはまるで10台の同じ車を駐車場から送り出して、どれにVIPが乗っているか誰にも分からなくするようなものです——デジタル版の目くらましです。

執筆: Casper's Cloak Security Team

要約:暗号化は何を話すかを隠します。VPNは誰と話しているかを——ローカルネットワーク上で——隠します。しかしどちらも、通信していること、その頻度、データ量、タイミングは隠せません。デコイネットワークはそのメタデータチャンネルに信頼性の高いノイズを大量に流し込み、本物のシグナル(実際のブラウジング)を偽のシグナル(フェイクトラフィック)から統計的に特定できない状態にします。この概念自体は新しくはありません——軍は第二次世界大戦以来、電磁デコイや偽の無線通信を使ってきました——しかしコンシューマー向けプライバシーツールとしては新しい考え方です。この記事では、この概念を基本原理から説明し、プライバシー防御スタックのどこに位置するかを示し、いつ必要でいつ不要なのかを率直に解説します。

VPNが完全には解決できない監視の問題

VPNはデバイスとVPNプロバイダーのサーバーの間に暗号化されたトンネルを作ります。ISPの視点からすると、見えるのは単一のIPアドレス(VPNエンドポイント)に向かう暗号化されたバイトの流れだけです。行先のウェブサイト、DNSクエリ、トラフィックの内容はもはや見えません。これは保護なしと比べれば、真の意味ある改善です。

しかしISPにはまだいくつかのことが見えています。VPNを使っているという事実——接続パターンは特徴的で、主要なVPNプロバイダーのエンドポイントIPはよく記録されています。オンラインになっているタイミング。どれだけのデータがどの方向に流れるか。タイミングのパターン:小さなリクエストのバースト(ブラウジング)、持続する高帯域のダウンロード(ストリーミング)、定期的な小さなパケット(メッセージング)。そして、VPNをいつ開始・停止するか。

そのメタデータ——トラフィックの内容ではなく、形状、量、タイミング——は行動を推測するのに十分なことがよくあります。学術研究でこれは繰り返し実証されています。ワシントン大学の2014年の論文では、アダプティブストリーミングのビットレートパターンの分析だけで、暗号化されたトンネル越しにNetflixのタイトルを特定できることが示されました。2016年のジョージタウン大学の研究では、パケットのタイミングとサイズを分析することで、Tor経由でアクセスした特定のページを90%以上の精度で特定するウェブサイト・フィンガープリンティング攻撃が実証されました。内容は暗号化されていましたが、メタデータは暗号化されていませんでした。

内容を読まずにトラフィックメタデータから行動を推測するこの種の攻撃は、トラフィック解析と呼ばれます。これがVPN単体では埋められないギャップであり、デコイネットワークが対処するよう設計された問題です。

トラフィック解析とは何か、なぜ重要なのか?

トラフィック解析とは、内容を読まずに、誰がいつ誰と話し、どれだけの頻度で、どれだけのデータをやり取りするかという、通信の観測可能な特性からインテリジェンスを抽出する手法です。これはインターネット以前から数十年にわたって使われています。第二次世界大戦中、連合国の諜報部隊は、メッセージ自体を解読できない場合でも、無線送信のパターン(周波数、タイミング、量)を分析して枢軸国の艦隊の動きを追跡しました。この手法が機能したのは、通信パターンは本質的に情報を持っているからです——海軍基地からの無線トラフィックの急激な増加は、メッセージの内容に関わらず、艦隊が動こうとしていることを意味します。

現代のインターネットでは、トラフィック解析はいくつかの形態をとります:

  • ウェブサイト・フィンガープリンティング:すべてのウェブサイトは特徴的なトラフィックパターンを生成します——ページがリソース(HTML、CSS、JavaScript、画像、フォント)を読み込む際の特定のパケットサイズとタイミングのシーケンスです。十分なウェブサイトをプロファイリングした観察者は、あなたの暗号化されたトラフィックをこのフィンガープリントのライブラリと照合し、VPNやTor越しでも訪問したサイトを特定できます。
  • フロー相関:観察者がVPNに入るトラフィックとVPNから出るトラフィックの両方を見られる場合(たとえば一国のISPと宛先国の協力ISP)、タイミングと量を相関させてトンネルの両端を結びつけることができます。これは「エンドツーエンドのタイミング攻撃」と呼ばれ、Torのような低遅延匿名ネットワークの既知の弱点の一つです。
  • 行動推測:毎朝午前7時に小さなDNSクエリの後にデータのバーストが続く規則的なパターンは、ニュースをチェックしている人です。毎晩の持続的な高帯域ストリームは動画を視聴している人です。双方向データの短いバーストはメッセージングや音声通話です。これらは内容を読む必要がありません。
  • 量の分析:2GBのファイルをダウンロードすることは、暗号化越しでも特徴的です。量だけで可能性が絞られます。医療記録ポータルは訪問ごとに特定量のデータを転送し、銀行サイトは異なる量を転送します。十分なサンプルがあれば、量のパターンは識別情報になります。

意味するところ:暗号化とVPNはトラフィックの内容を保護しますが、トラフィックの形状は公開されたままです。トラフィック解析は形状を利用します。対策は形状を変えること——本物のトラフィックを均一なプロファイルにパディングするか、本物のトラフィックの形状を特定不能にする偽のトラフィックを追加することです。後者のアプローチがデコイネットワークの行うことです。

デコイネットワークの仕組み——3つのコンポーネント

デコイネットワークは単一の技術ではなく、3つのコンポーネントで構成されたシステムです。それぞれが必要であり、単独では十分ではありません。

1. トラフィック生成

システムは、実際のユーザーアクティビティに見えるネットワークリクエスト——DNSルックアップ、HTTP/HTTPS接続、データ転送——を生成します。重要なのは「見える」という点です。単純なアプローチ(タイマーで同じURLをリクエストする)は本物のブラウジングと簡単に区別できます。洗練されたアプローチは、宛先、タイミング、リクエストサイズ、接続パターンをランダム化し、人間の行動を模倣します。トラフィック生成コンポーネントは信頼できる宛先のプール(実在するウェブサイト、実在するコンテンツタイプ)から引き出し、単純な統計テストではデコイリクエストと本物のリクエストを区別できないようにリクエストパターンを変化させます。

2. トラフィック整形

完全に均一なタイミングの生のデコイトラフィック自体もシグナルになります——本物の人間は一定のリズムでブラウジングしません。トラフィック整形コンポーネントは現実的な変動を加えます:本物のブラウジング行動に一致する分布から引き出されたリクエスト間の遅延、セッション長のパターン(活動のバーストの後にアイドル期間が続く)、現実的なユーザーエージェント文字列と接続特性。目的は、観察者があなたのトラフィックストリームを分析したとき、正常にブラウジングしている人のように見えることです——実際よりも多くのサイトを訪問している人ではありますが。

3. 本物のトラフィックとの混合

デコイトラフィックは、ネットワーク層で本物のトラフィックと区別がつかなければなりません。これは、同じVPNトンネルを通り、同じDNSリゾルバーを使い、本物のブラウジングと同じ種類の暗号化パケットを生成することを意味します。デコイトラフィックが別のチャンネルにあったり、何らかの識別可能な特性(異なるTLSフィンガープリント、異なるソースポート範囲、異なるパケットサイズ分布)を持ったりすれば、この取り組み全体が無意味になります——攻撃者は単にデコイチャンネルをフィルタリングして残りを分析します。

3つのコンポーネントが連携して機能すると、ネットワーク接続を監視する観察者は、あなたの実際のブラウジングとかなりの量の偽のブラウジングの両方を含む暗号化されたトラフィックストリームを目にします——どちらがどちらかを確実に見分ける方法はありません。本物のシグナルはノイズの中に埋もれています——それがこの手法のポイントです。

軍と企業における前例

デコイベースの防御はセキュリティにおける最も古い概念の一つです——コンシューマー向けプライバシーツールとして利用可能になったのは最近のことです。この系譜を理解することは価値があります。なぜならこれが理論的・実験的なものではなく、制度的なスケールで数十年にわたって展開されてきた実証済みのアプローチであることを示すからです。

軍事欺瞞(MILDEC):米軍は欺瞞作戦のための正式な教義を持っています——統合刊行物3-13.4。これは、偽のレーダー放射(空母グループが実際とは異なる場所にいるように見せる)から偽の無線通信(傍受された通信が異なる作戦計画を示唆するようにする)まで、あらゆるものをカバーしています。原則はネットワークデコイと同じです——敵の情報装置が本物から効率的に区別できない、もっともらしい偽のシグナルを生成することです。

ハニーポットとハニーネット:企業のサイバーセキュリティでは、ハニーネットは攻撃者を引き付けて検出するために設計された偽のサーバーのネットワークです。本物の本番システムのように見えます——本物のオペレーティングシステム、本物のサービス、本物のレスポンスを実行しています——しかし探られ攻撃されるためだけに存在します。ハニーネットへのトラフィックは定義上、無許可です。これにより高精度の侵入検知シグナルになります。NISTの侵入検知・防止システムガイドでこの概念が詳しく解説されています。重要な洞察:防御者は欺瞞を使って攻撃のコスト構造を変え、攻撃者がフェイクの中から本物のターゲットを見つけるのをより困難にします。

欺瞞技術プラットフォーム:Attivo Networks(SentinelOneに買収)、Illusive Networks、TrapXなどの企業は、偽の認証情報、偽のファイル共有、偽のデータベースサーバーなどのデコイアセットをエンタープライズネットワーク全体に展開することに特化した製品カテゴリを構築しました。MITRE ATT&CKは防御技術として欺瞞を文書化しています(防御フレームワークの「欺瞞」カテゴリのMITRE ATT&CKを参照)。理論的根拠:攻撃者が本物のアセットとフェイクのアセットを区別できなければ、横方向の移動にかかるコストが大幅に増加します。

コンシューマー向けデコイネットワークは同じ原則を異なる敵に適用します。企業ネットワークを調査する攻撃者を欺く代わりに、個人のトラフィックを分析する観察者を欺きます。数学は同じです——シグナルノイズ比が有用な分析に使えなくなるまでノイズを増やす——しかしコンテキストは侵入検知ではなくプライバシーです。

プライバシー防御層の比較

デコイトラフィックはプライバシースタックの一層であり、他の層の代替品ではありません。一般的な防御構成を、現実世界のプライバシーに重要な4つの特性で比較します:

防御手段 訪問先を隠すか? 隠していることを隠すか? トラフィック解析を無効化するか? すべてのアプリで機能するか?
保護なし いいえ N/A いいえ N/A
VPNのみ はい(ISPから) いいえ いいえ はい
VPN + 広告/トラッカーブロック はい(ISPから) いいえ いいえ はい
VPN + デコイトラフィック はい(ISPから) 部分的に はい はい
Tor はい いいえ(検出可能) 部分的に いいえ(ブラウザーのみ)

この表は2つのことを示しています。第一に、単一の層がすべての次元を処理することはありません——プライバシーはスタックであり、製品ではありません。第二に、デコイトラフィックはコンシューマースペースで、VPNが残すギャップであるトラフィック解析に直接対処する唯一のアプローチです。Torはマルチホップルーティングとトラフィックパディングによってトラフィック解析への部分的な抵抗を提供しますが、エンドツーエンドのタイミング攻撃に対して脆弱であり、ブラウザートラフィックに限定されます。

Casperのデコイドメイン機能の仕組み

Casper's Cloakにはデコイドメインと呼ばれる機能があり、コンシューマープライバシーのためにデコイネットワークの概念を実装しています。技術レベルで何をするかを説明します。

デコイドメインが有効になると、Casper's Cloakクライアントは、厳選された無害な実在ドメインのリストに対して、ランダム化されたインターバルでDNSクエリとHTTP/HTTPSリクエストを生成します。これらは偽のサーバーやハニーポットへのリクエストではなく——実在するウェブサイト(ニュースサイト、ショッピングサイト、参照サイト、ソーシャルプラットフォーム、ストリーミングサービス)への実際のトラフィックパターンを生成するリクエストです。リクエストは同じDNSリゾルバーと同じ暗号化接続を使い、同じVPNトンネル内の実際のトラフィックストリームに混合されるため、ネットワーク層では本物のブラウジングと区別がつきません。

具体的な内容:

  • DNSクエリ:クライアントはCasperのDNSリゾルバーを通じてデコイドメインのDNSルックアップを発行します。ISPの視点(またはネットワーク観察者の視点)からすると、これらのルックアップは本物のDNSクエリと同一です——同じリゾルバー、同じ暗号化トランスポート、同じクエリ形式。デコイドメインは、多様なカテゴリにまたがる数千の実在ドメインのローテーションするプールから引き出されます。
  • HTTP/HTTPSリクエスト:デコイドメインを解決した後、クライアントは本物のブラウジングを模倣するHTTPリクエストを行います——ページを読み込み、いくつかのリンクをたどり、リソースをダウンロードします。接続特性(TLSバージョン、暗号スイート、HTTP/2またはHTTP/3、ヘッダーの順序)は本物のブラウザーが生成するものと一致します。これが重要な理由は、高度なトラフィック解析が接続メタデータからクライアントソフトウェアをフィンガープリントできるからです——異なるクライアントから来たように見えるデコイトラフィックは簡単にフィルタリングされます。
  • ランダム化されたタイミング:デコイリクエストは固定スケジュールでは発行されません。リクエスト間のインターバルは、本物の人間のブラウジングパターンを近似する分布から引き出されます——ページ読み込みの間の可変ギャップ、時折のバースト、時折のアイドル期間。これにより、観察者がデコイトラフィックをその時間的規則性で識別するのを防ぎます。
  • 量のキャリブレーション:デコイトラフィックと本物のトラフィックの比率は設定可能ですが、デフォルトは、観察者が実際のブラウジング履歴を再構築するためにすべてのリクエストを正しく分類する必要があるほど高く設定されています——そして、あらゆる分類試みの偽陽性率はその再構築を信頼できないものにします。目的はトラフィック解析を理論的に不可能にすることではなく、ブラウジングメタデータに対して実用的に無意味にすることです。

最終的な効果:ISP(またはネットワーク層の観察者)には、CasperのVPNエンドポイントに向かう暗号化されたトラフィックストリームが見えます。トラフィックメタデータを分析すると、ニュース、ショッピング、ソーシャルメディア、リファレンス、エンターテインメントなど幅広いウェブサイトを、正常なブラウジングに見える量とリズムで訪問している人のパターンが見えます。訪問のどれが本物でどれがデコイかを特定することはできません。なぜならデコイトラフィックは、すべての観察可能な層で本物のトラフィックと区別がつかないよう設計されているからです。

デコイドメインは、Casperの他のプライバシー機能と連携して機能します——VPNトンネルと脅威防御、DNS層でのトラッカーブロック、そしてDNSレベルフィルタリング。各層はプライバシー問題の異なる次元に対処し、デコイドメインは他の層が残すトラフィック解析の次元に特化して対処します。

デコイネットワークができないこと——正直な限界

デコイトラフィックは本物の限界を持つ、本物のプライバシー改善です。その限界について正直であることは重要です——能力を誇張すると信頼が損なわれますし、限界を理解することで、プライバシー態勢について情報に基づいた決断ができるようになります。

帯域幅のオーバーヘッド

デコイトラフィックは実際の帯域幅を使用します。偽のDNSクエリとHTTPリクエストすべてがデータを消費します。無制限の家庭用接続では、これは無視できます——デコイトラフィックは動画のストリーミングやファイルのダウンロードと比べると小さいです。従量制のモバイル接続では積み重なります。Casperの実装では量をコントロールできます(またはモバイルデータでデコイドメインを無効化できます)が、基本的なトレードオフは現実です:より多くのデコイトラフィックはより優れたトラフィック解析への抵抗とより高い帯域幅使用を意味します。

デバイスレベルの侵害に対する保護はない

デコイトラフィックはネットワークレベルの観察者——外部から接続を監視する者——に対して防御します。攻撃者がデバイス自体を侵害している場合(マルウェア、スパイウェア、侵害されたブラウザー拡張機能)、実際のブラウジングを直接見ることができ、トラフィックパターンを分析する必要がありません。デコイトラフィックはデバイス上で実行されているCasper's Cloakクライアントによって生成されます。クライアントはどのトラフィックが本物でどれがデコイかを知っているため、クライアントの状態を検査できるプロセスはその二つを区別できます。これはデコイネットワーク特有の欠陥ではありません——エンドポイントの侵害に対してネットワーク層の防御が役立たないという一般原則です。

有効性はトラフィック量の比率に依存する

デコイトラフィックが総トラフィックの10%であれば、どのリクエストが本物かをランダムに推測する攻撃者は90%の確率で正解します。デコイトラフィックが90%であれば、10%の確率でしか正解しません。デコイアプローチの有効性は、フェイクトラフィックと本物のトラフィックの比率でスケールします。逓減収益があります——50%デコイから90%デコイへの変化は、90%から99%への変化よりも遥かに大きな効果があります——しかし要点は変わりません:少量のデコイトラフィックは限定的な効果しかありませんが、十分な量は意味のある保護を提供します。Casper's Cloakのデフォルト設定は、過度の帯域幅使用なしに強力な抵抗を提供するよう調整されていますが、有効性は絶対的ではありません。

高度な統計的攻撃

VPNトンネルの両側(入口と出口)にアクセスできるリソースが豊富な敵対者は、単純なトラフィックフィンガープリンティングを超えた統計的手法を適用できます。十分なラベル付きデータで訓練された機械学習分類器は、デコイトラフィックジェネレーターが本物のブラウジングとわずかな分布の違い(例:わずかに異なるTCPウィンドウサイズ、異なるHTTPヘッダーの順序、異なる接続再利用パターン)を持っている場合、特に本物とデコイのトラフィックをランダム以上の精度で分離できるかもしれません。どのデコイ実装も、すべての点で本物のトラフィックと証明可能に区別がつかないわけではありません。問題は、残差の識別可能性が実用的にスケールで悪用可能かどうかです。膨大な計算予算と協力するISPへのアクセスを持つ国家レベルの敵対者にとっては「部分的にはそう」かもしれません。ルーティンのデータ収集を行うISPにとっては「いいえ」です。

誰にこれが必要か?

率直に言えば:ほとんどの人にはデコイトラフィックは必要ありません。DNSレベルフィルタリング付きのVPNは、大多数のユーザーのプライバシーニーズを処理します——ISPからのブラウジングの隠蔽、トラッカーのブロック、コーヒーショップでの盗聴防止。それはほとんどのCasper's Cloakユーザーに推奨するスタックであり、その役割において有効です。

デコイトラフィックは、脅威モデルにトラフィック解析が含まれる特定のユーザーに価値を加えます:

  • 機密情報源と仕事をするジャーナリスト。政府や企業の敵対者がジャーナリストのネットワーク接続を監視している場合、トラフィック解析は2者間のトラフィックパターンを相関させることで、ジャーナリストが特定の情報源と通信しているタイミングを明らかにする可能性があります。デコイトラフィックはノイズフロアを上げ、その相関を難しくします。EFFの監視自己防衛ガイドでは、ジャーナリストと情報源のより広範な運用セキュリティのコンテキストをカバーしています。
  • 監視された環境下の活動家と反体制派。政府が国家レベルでインターネットトラフィックを監視する国(VPNの使用自体が目印になる国)では、デコイトラフィックはトラフィックメタデータから行動プロファイルを構築することを難しくします。これは積極的な検閲に直面している人々のTorや回避ツールに取って代わるものではありません——しかし受動的な監視(積極的なブロックではなくメタデータ収集)のある環境にいる人々には、意味のある層を追加します。
  • 高い信頼要件を持つ職業の人。依頼人秘密保持義務を持つ弁護士、患者データを扱う医療提供者、規制上のリスクを抱える金融専門家——ネットワークメタデータから推測されたブラウジングパターンが商業的または法的に悪用される可能性がある人。リスクはメールが読まれること(それは暗号化が対処する)ではなく——メタデータ分析が、調査している相手方の弁護士、患者のために調べている病状、デューデリジェンスしている企業を明らかにすることです。
  • ISPから最大限のプライバシーを望む人。米国でさえ、ISPはブラウジングデータを収集・販売できます。VPNはその可視性をISPからVPNプロバイダーに移します。デコイトラフィックは、たとえ誰かがVPNプロバイダーの接続ログをサブポエナしても、トラフィックメタデータが本物のブラウジング行動に明確にマッピングされないことを意味します。単一の層を信頼したくない人のための、念には念を入れたアプローチです。

これらの説明が自分の状況に当てはまらない場合——プライバシーへの懸念が「ISPにブラウジングデータを売られたくない」または「サイト横断でプロファイリングされたくない」という場合——トラッカーブロック付きのVPNが適切なツールであり、デコイトラフィックは不要な複雑さです。想像上の脅威モデルに対して最大限の保護を使うよりも、実際の脅威モデルに適した量の保護を使うことをお勧めします。

よくある質問

デコイトラフィックは接続を遅くするか?

最小限です。デコイリクエストは軽量(DNSクエリと小さなHTTPページロード)であり、接続を飽和させないようにレート制限されています。一般的なブロードバンド接続では、デコイトラフィックは利用可能な帯域幅のわずかな部分を使用します。モバイルデータでは、データキャップに対する影響がより大きいため、Casper's Cloakではモバイルデータ通信でデコイドメインを無効化できます。

これはTorと同じか?

いいえ。Torは実際のトラフィックを複数のリレーを通してルーティングし、宛先サーバーからIPアドレスを隠します。デコイネットワークは、ネットワーク観察者によるメタデータ解析を無効化するために、本物のトラフィックの横に偽のトラフィックを追加します。両者は異なる問題に対処します。Torは訪問するサイトから身元を隠し、デコイトラフィックは接続を監視している人からの行動を隠します。両方を使うこともできます——匿名性にTor、トラフィック解析への抵抗にデコイトラフィック——しかし両者は独立した概念です。

VPNプロバイダーは本物のトラフィックとデコイトラフィックを区別できるか?

Casperのアーキテクチャでは、デコイトラフィックはクライアント側で生成され、本物のトラフィックと一緒にVPNトンネルに入ります。VPNサーバーはすべてのリクエストを同一に処理します——デコイリクエストに異なるタグやフラグを付けません。ただし、クライアントソフトウェアはどのリクエストがデコイとして生成されたかを知っています。クライアントが侵害された場合、その区別にアクセスできます。ネットワーク層では(VPNサーバーが見るもの)、本物とデコイのトラフィックは同一に処理されます。

デコイドメインは自分がデコイとして使われていることを知っているか?

いいえ。デコイリクエストは実在するウェブサイトへの標準的なHTTP/HTTPSリクエストです。宛先ウェブサイトの視点からは、Casper's CloakのVPN出口IPからの訪問を受けました——他の訪問者と区別がつきません。ウェブサイトはパートナーでも、通知を受けるわけでも、協力する必要もありません。これは任意のVPNユーザーが任意のウェブサイトを訪問するときに起きることと同じです。


関連記事:DNSレベルフィルタリングの実際の仕組みでは、DNSレベルでトラッカーと広告をブロックするフィルタリング層を解説します。脅威防御では、VPNトンネルとMLベースの脅威検出を解説します。トラッカーブロックでは、DNSレベルのブロックがデバイスのすべてのアプリからトラッカーを削除する方法を説明します。デコイドメインと合わせて、これらの機能はCasperの完全なプライバシースタックを形成します——各層が他の層の残すギャップを埋めています。

監修: Casper's Cloak Security Team · 最終更新

Casper's Cloakを試す

VPNトンネル + DNSレベルのトラッカーブロック + デコイドメインによるトラフィック難読化——完全なプライバシースタックが1つのアプリに。仕組みを確認するか、料金をチェックしてください。