学校や職場のインターネット規制をほぼ回避できる『UT-VPN』の仕組み

24 コメント
学校や職場のインターネット規制をほぼ回避できる『UT-VPN』の仕組み

学校や職場のネット規制をほぼ回避できる『UT-VPN』とその仕組みをご紹介します。

シナモン
ジャガアポー
パイナポー

筑波大学が開発している『UT-VPN』とは

学校や社内のネットワークには規則に従った規制が設けられています。学校では学習にふさわしくないWebサイト(ゲームやアダルトなど)、会社では仕事の妨げになるWebサービス(SNSや出会い系など)へのアクセスを禁止している場合が多いです。

最近では“創造性の向上”を理由に、あえてこのような規制を設けず、リラックスした状態で仕事できるオフィスも存在します。

今回の記事ではこの規制の必要性うんぬんはさておき、ネットワーク環境が構築されている場所であれば、そのネットワークの規制をほぼ回避できる『UT-VPN』の仕組みについて説明したいと思います。

シナモン
ジャガアポー

“NAT(NAPT、IPマスカレード)”とは?

『UT-VPN』の仕組みを説明するにあたり、少しだけネットワークについて学んでおきましょう。

本記事はあくまで“仕組み”を解説するだけであって“利用方法”を掲載していません。『UT-VPN』の使い方を知りたい人は各自でお調べください。

ご存知の通り、ネットワーク間で何らかの通信を行う場合、ネットワーク上の住所となる“IPアドレス”が必要になります。現実世界の住所と同じように、まったく同じIPアドレスが同一のネットワーク上に存在することはありません。つまり巨大なグローバルネットワークであるインターネットを利用するときに与えられる“グローバルIPアドレス”は、世界で1つしか存在しないわけです。

internet-filter-ignore-ut-vpn-network-ip-address

しかしグローバルネットワークから切り離されたそれぞれのプライベートネットワークでは同じIPアドレスが存在します。このとき与えられるIPアドレスは“プライベートIPアドレス”といい、与えられたネットワークでのみ使用できるIPアドレスです。

ではこのネットワーク内の端末からインターネットに接続する場合、どうすればよいでしょうか。

先述のように、インターネット上のIPアドレスは世界で1つしか存在してはいけないことになっています。しかしプライベートIPアドレスは、それぞれのネットワークで全く同じものが使われる場合があるため、プライベートIPアドレスを使ってインターネットに接続することはできません

internet-filter-ignore-ut-vpn-network-nat

そこでプライベートIPアドレスとグローバルIPアドレスを変換する“NAT(NAPT、IPマスカレード)”が必要になります。通常は、ルータを介してこのNATを行うことになります。

自宅からでも社内LANを使える“VPN”

多くの企業では情報漏えい防止の為、社内データは社内LAN内に保存しておき、インターネットなどの公開の場に保存することはありません。

シナモン
ジャガアポー

そのため、会社で作ったファイルを自宅で編集したくても、社内LANに繋げないため、ファイルにアクセスすることさえできません。

シナモン
パイナポー
internet-filter-ignore-ut-vpn-network-vpn

その解決策として、インターネットを用いて社内LANに接続する“VPN”というものがあります。

“VPN”は今あるパソコンと物理的に離れているネットワークとで、仮想的なプライベートネットワークを作成できる技術です。VPN接続されたパソコンならば、仮想的ではあるものの、社内のネットワークに参加していることになるので、社内にあるネットワークプリンタを利用したり、社内の他のパソコンとの通信も可能です。

VPNは次のどちらかの方法で利用できます。

  • VPNに対応したルータを自宅、社内両方に設置(ハードウェア)
  • VPN通信用ソフトウェアを導入(ソフトウェア)

大手企業ではVPNに対応したルータを設置しており、ハードウェアによるVPN通信が可能となっています。しかしVPN対応ルータの購入に費用がかかってしまうことから、多くの企業ではソフトウェアによるVPN通信に対応しています。WindowsやOSXなどの最近のOSは、OSレベルでVPN接続に対応しています

internet-filter-ignore-ut-vpn-ios
パイナポー
シナモン

ちなみに

インターネット経由で社内LANと接続するってことは、第三者による攻撃(盗聴、改ざんなど)を途中で受けてしまうのでは?

と思った人、なかなかするどいです。

VPNは、ただ離れたLANと仮想的に接続するだけでなく、通信内容をすべて暗号化してくれます。つまり“安全に離れたネットワークに参加できる”ということです。

シナモン

VPNでネットワーク規制を回避できる

internet-filter-ignore-ut-vpn-network-vpn-ignore

先述したように、本来ならばVPNは、外出先からも特定のLANへ接続するために使われるものです。

しかしVPNの仕組みを利用して、社内LANの規制(アクセス規制など)を回避することができます。社内にあるパソコンと自宅のネットワークをVPNで接続します。そうすることによって社内のパソコンは、自宅のネットワークに参加していることになるため、自宅のNATを介してインターネットに接続することができます。

つまりVPNを利用した規制回避方法は、社内LANからインターネットへアクセスするのではなく、自宅のLANからインターネットへアクセスするのを社内から操作するという方法です。またVPNの通信は暗号化されているため、たとえネットワーク管理者が通信履歴を見てもどのような通信を行なっているのか一切分かりません

パイナポー
ジャガアポー

VPNによる規制回避はバレる

VPNを使えばネットワーク規制を回避することが可能です。しかし回避はできても、バレます。

internet-filter-ignore-ut-vpn-network-vpn-port

ここで“ポート”について軽く触れてみます。

IPアドレスを“住所”とたとえるならば、その住所にある家のドアが“ポート”になります。
「インターネットを利用する」と言っても、ネットサーフィンだったりメールだったりSNSだったり、様々なことができます。これらの通信は種類分けされ、それぞれのポートを介して通信されます。ポートには番号が与えられており、その番号によって“何を通信するのか”が決まっています。
例えばメールでよく使われる“POP3”という通信規格は、110番のポートを介します。一般的なWebサイトを閲覧するときは、つまりWebページの取得には、80番ポートを介します。

ネットワーク管理者は、これらのポート(ドア)を自由に開け閉めすることができます。ポートを開放すれば、そのポートを使用する通信が可能になり、ポートを閉じてしまえば、そのポートを使用する通信ができなくなります。

シナモン
ジャガアポー
シナモン
パイナポー

企業はともかく、一部の大学を含む学校ではVPN接続を許可していません。そのためVPNが使用するポートは閉じられている可能性が高く、VPN接続が不可能な場合があります。

加えて、たとえVPN接続に必要なポートが開放されていても、ネットワーク管理者からは“どのパソコンが何のポートを使用したか”わかってしまいます。VPNは暗号化して通信を行うため、“何を通信しているか”はネットワーク管理者でも分かりませんが、“VPNを使用している”という事実は普通にバレます

ジャガアポー
ジャガアポー
パイナポー

『UT-VPN』は単なるVPNではない!

ここでやっと本題です(汗)今回ご紹介する『UT-VPN』は、筑波大学が開発したVPNアプリです。『UT-VPN』をサーバ、クライアント両方にインストールすることで、『UT-VPN』を利用することができます。

先ほど解説した通り、通常のVPNは“VPNを使った”ということがバレますし、ポートを閉じられてしまったら通信自体できなくなります。

internet-filter-ignore-ut-vpn-443

しかし『UT-VPN』が使うポートは443番です。

このポート443はHTTPS通信に使われます。通常Webページを見るときに使われるHTTP(ポート80)は、通信のやり取りを平文で行います。しかしHTTPS(ポート443)というものは、この通信のやり取りを暗号化して行うものです。Webサービス利用にあたってのアカウントログインページのほとんどは、このHTTPSを使用しています。(逆にHTTPSを使用していないログインページは、怪しいです…。)

シナモン
internet-filter-ignore-ut-vpn-https
ジャガアポー
パイナポー
ジャガアポー

HTTPS、すなわちポート443を介しての通信は、ネットワーク管理者であっても通信概要を見られません

さきほど先述した“VPNを使っていることがバレてしまう”なんてことはありません。「あ、HTTPSを利用しているな」ということは確認されてしまいますが、HTTPSは、ネットショッピングやアカウントページなど、非常に多くのWebサイト、サービスで利用されている通信規格です。そのため、HTTPSの利用履歴からVPNを使用しているといった証拠は一切出てこないのです。

もちろん443番ポートを遮断してしまえば、『UT-VPN』を利用することができなくなります。しかし443番を遮断するということは、Webサービスのアカウントへログインできなかったり一部のページ(Googleの検索結果など)もアクセスできなくなります。そのため、まず、443番ポートが閉じられているということはありえないでしょう

シナモン

しかし『UT-VPN』は完璧ではない

そもそも『UT-VPN』は『PacketiX』というアプリのオープンソース版です。『PacketiX』を知らなくても『SoftEther』を知っているという人もいるのではないでしょうか。

『SoftEther』は『PacketiX』の旧製品です。『SoftEther』の後継製品が『PacketiX』ということになります。
『SoftEther』が公開されたとき、簡単にネットワークの規制を回避できてしまうセキュリティ上の問題から、いくつかの企業からIPAや産業省に苦情がきました。そこでIPAは『SoftEther』の公開停止を強く要請。ネットワークに関する業界では大きな波紋を呼びました。今ではその解決策が公開されているため、特に大きな問題に発展していません。

解決策が公開されているということは、『UT-VPN』は完璧な規制回避アプリではないということです。

まず第一に、『UT-VPN』は仮想ネットワークカードを構築します。この時、管理者権限を必要とします。そのためアプリのインストールができないなど、管理者権限を必要とする操作を実行できない環境では『UT-VPN』を利用できません

パイナポー

加えて『UT-VPN』は独自のVPN規格であるため、『UT-VPN』クライアントアプリをインストールしたパソコンでのみ通信可能です。OS標準のVPNクライアントでは通信できません。
また『UT-VPN』クライアントアプリは、WindowsとLinuxのみ用意されています。そのためOSXやその他のOSでは基本的に利用できません。

以上のことを踏まえると、以下の環境では『UT-VPN』を利用できないことになります。

  • 管理者権限が与えられていないパソコン
  • Windows、Linux以外のOS
  • iPhone、iPad、Android搭載などの端末

逆に言えば、これらの条件をすべてクリアしていれば『UT-VPN』を利用できる、すなわちネットワーク規制の回避も簡単にできてしまう、というわけです。

あとがき
シナモン
ジャガアポー
パイナポー
ジャガアポー
シナモン
パイナポー
ジャガアポー
シナモン
パイナポー
ジャガアポー
シナモン
パイナポー
記事は執筆時の情報に基づいており、現在では異なる場合があります。
この記事をシェアする
コメント
コメントを投稿した際には、コメントガイドラインに同意したものとみなされます。
MasaYan

ポートですが、ポートはただのドアでしかないので、443にしたときに暗号化されるのはポートのおかげではないと思いますがどうでしょう?

また、アプリケーションのポートは管理者権限があれば自由に変えれると思うので、UT-VPNを使わなくても可能な気がしますがどうでしょうか?
(管理者権限がない会社等ではもちろん無理ですが)

間違っていたらすみません。興味があるもので。

ジャガアポー

 おっしゃるとおり、443番ポートを通すだけでは暗号化されません。そのような誤解を招く文章がありましたら、申し訳ありません。
 HTTPSの通信暗号化については“SSL”というプロトコルが使用されます。443というポート番号は、このSSLを利用するための窓口にすぎません。そのためSSLを利用するとしても、443番以外のポートを介すことも可能です。
 とはいえ、SSLは標準で443番ポートと設定されており、日本国内の多くのネットワークではこの標準値を使っています。

 都合上、本記事に掲載できませんでしたが、『UT-VPN』のステルス性は非常に高いです。
SSL-VPNでは通信内容を管理者から見られることはなくても、断続的に利用することでVPNを使用しているのではないかと疑われる可能性があります。
しかし『UT-VPN』は1本のTCPコネクションを長時間使用しないよう、HTTPSコネクションを時間的にずらして並列的な利用を実現しています。
 また、1本のTCPコネクションで送受信を行ってもSSL-VPNを利用していると疑われる可能性があります。
そこで『UT-VPN』は複数のコネクションを仮想的に構築し、半数を送信用、半数を受信用と割り当てているようです。
 さらに、ダミーの通信を挟むことによってVPN検出を難しくしているようです。
詳しくはUT-VPNのコンセプトのページをご覧ください。

パタ

難しすぎて分かりません!!!!

ジャガアポー

 はわわ…、わかりやすいように説明したつもりですが…教えるのは難しいです!

パタ

無知ですいません!><

ゲゲゲのゲスト

わからん

VODKA

これ、図書館で使える?

ジャガアポー

 アプリをPCにインストールする必要があるので、インストールできる権限を持っていなければ無理です!

おーーーいw

難しいよ???

ミッっちー

僕ミッチー!
説明してね♪
ちょとまてちょとまてお兄さん!
説明わからないよ~泣

well-knownポート

ルーターのフィルタリングで80番や443番ポートに向けた通信や80番や443番ポートから届く通信が遮断されてWebページが見れなくなるのならわかりますが、ルーターの80番や443番ポートを閉じたとしてもWebページが見れなくなることはないと思うのですがどうでしょうか?

ジャガアポー

 宛先が80番、443番のポートを使用するパケットを遮断すると、Webページが見られなくなります!

1.5L PET

UT VPNをもし二重ルーターを介して使用した場合にはどうなるんでしょう?
ルーターから有線を引っ張ってきてそれを無線ルーターに接続、なんて変なことをすると、端末-無線ルーター間はワイヤレスLAN、無線ルーター-有線ルーター間は有線、その先はUT VPN中継サーバーとなりますが、その間全てSSLで保護されるんでしょうか・・・
私の国は監視が厳しすぎて困ります。まさにこの書き込みも、日本のUT-VPN中継サーバーを経由して書き込んでいます。

ジャガアポー

有線ルータ⇔無線ルータでNATが設定されていない、いわゆるブリッジ状態であれば、問題なく接続可能だと思います。また、VPNサーバとコネクションが確立される時点でパケットのトンネル化が行われるため、ローカルネットワーク(有線⇔無線ルータ間)でも通信の暗号化が行われています。

UT-VPNは、単なるSSL-VPNとは異なり、国家レベルでインターネット接続規制が施されている場所で、ネット規制を回避するために開発されたVPNです。
PETさんのような状況下でこそUT-VPNを使うべきだと思いますが、過信も禁物でございます。。。

ゲゲゲのゲスト

筑波大学は権限なしでダウンロ-ドできるアプリを作ってくれ

とある役所の者

役所間でのファイルの送信限度が10Mまでしかなく、転送サービスも禁止されている。このため、月に何回も往復1時間かけてCDに焼いて他の官庁にファイルを渡しに行かねばならない。システム管理所管部署は、業務のことは考えず保身のみの連中のため、例外を認めてくれる余地全くなし。
 是非、権限なしでダウンロ-ドできるアプリを作っほしいものです。

ゲゲゲのゲスト

よくわからん

ぬぬぬ

そうか...
役所はこんなの使ったら絶対ダメだから使えなくて良かった

クロ

学校のパソコンの規制の基準を教えてください!

ゲゲゲのゲスト

>クロさん

学校PCの規制基準をこのサイトの管理人さんが知ってる方が不思議だとは思いませんでしたか? 規制基準については学校の先生に教えてもらってください。

わるさー

家のデスクトップをVPNserverにして、学校でノーパソをネット繋いだらなんと学校でゲームができてしまいました。pingは多少上がりますが国内鯖へping30ならぜんぜん問題ないですねー。
VPNGateを起動さたんですが、やはり大量のアクセスがあると落ちてしまいます。
20セッションぐらいなら大丈夫なんですが50セッションを越えてくると鯖落ちしてしまうのでなにかよい手立てはないでしょうか?
スペックはこんな感じです。
CPU:PhenomX6 1090T 3.357Ghz
Memory:DDR3 1680Mhz 4GB*2枚
GPU:560Ti
HDD:1TB 残り容量130GB
LANカード:Intel Gigabit CT Desktop Adapter
OS:Windows 7 Pro 64bit

ルーター:NEC PA-WR9500N-HP
回線:フレッツ光ネクスト ファミリー・スーパーHS 隼
ISP:YahooBB
OoklaSpeedテスト測定結果:
Tsukubaへの平均速度:
ping 16ms
DownLoad:400Mbps
UpLoad:300Mbps

ゲゲゲのゲスト

vpnでもこわいお(;・∀・)

名無し

塾でもらったタブレット規制突破してやろうと思ったけどだめだった 泣

ゲゲゲのゲスト

↑同じく 泣 (s)

コメントを投稿した際には、コメントガイドラインに同意したものとみなされます。
コメントを投稿した際には、コメントガイドラインに同意したものとみなされます。