一番オススメできる無料VPNアプリは、間違いなくProtonVPN(プロトン)だ。
なぜか他の無料VPNアプリが流行っているが、セキュリティ目的なら英語は我慢しよう、というより当サイトでカンニングするべし。
当然のように活動情報を保存しない「ノーログポリシー」だったり、やりすぎなセキュリティが安心をかきたてる。
通常は実績がなく得体の知れない無料VPNアプリは紹介したくないが、このVPNは世界でもっとも安全なメールサービスを目指した結果、セキュリティが高すぎるProtonMail(プロトンメール)と同じ運営であり、セキュリティ管理の実績がある。
なんと無料プランなのに「帯域制限(通信制限)がない」ため、無制限で使えるぞ。
ProtonVPNの特徴
料金プランは以下の通りだ。
無料プランなので「日本・アメリカ・オランダ」の3カ国サーバー(一つの国に2つずつあるので実際は6つ)しか使えず、1デバイス(端末)までで低速。
といっても、利用者が少ないようで現在は低速の実感なし。
無料だがプラスプランを強制的に7日間利用できるため、そのあいだに上記有料プラン機能を使ってみるといいだろう。
ちなみに、有料プランは他VPNと比べると相当高い(他が価格破壊しすぎ)。
本格的に使うならNordVPNかSurfsharkを検討するといい。
セキュリティレベル
専門用語だらけなので、簡単に説明すると以下の通り。
- ※強力な暗号化
- ※強力なプロトコル
- ※ログポリシーなし
- 米国とEUの手段を無視できるスイス
- サーバーの場所がスイス軍避難場所地下1000Mにある物理的セキュリティ
詳しくは公式サイトのセキュリティ機能(英語)を確認すると良い。
英語だが、理解しなくてもセキュリティをやりすぎているのが伝わるだろう。
たがこの界隈、上記「※」のメリットがメジャーなVPN(ExpressやNordなど)もやっている最低条件だ。よって、無料の優位性しか実際はないかもしれない。
つまり、大手有料VPNと同等かそれ以上のセキュリティだ。
無料アプリの罠
無料VPNにはログを保存しているもの、不自然な広告を配信するものなど存在しており、「無料で使うなら必ず信頼度を調べる」手間が存在。
セキュリティは上記の通りProtonVPNで良いとして、ノーログポリシーは公式サイトにアクセスしないとわからなかったり、一部だけのノーログポリシーを「完全なノーログポリシー」と謳うケースも存在するのでProtonVPNにしておけば間違いない。
ダウンロード・インストール
ダウンロードしにいき、インストールが終わったら開こう。この記事はAndroidアプリで進めていく。
ProtonVPN – Fast & Secure VPN
ProtonMail無料posted withアプリーチ
英語でセールスポイントを紹介されるがわからないので「SKIP(スキップ)」。
アカウント作成
Webでアカウントを作成するため、「Create new account(アカウント作成)」をタップしてWebへアクセス。
「Free(無料)」をタップして切り替え、下の方にあるStep2、Create your accountの「Email」欄にメールアドレスを入力して、下にある「GET PROTON FREE」をタップ。
登録したメールアドレス宛に6桁のコードが送信されているので入力して「VALIDATE(検証)」。
アカウント情報を登録する表示がでたら「ユーザー名」と「パスワード」を入力しよう。
ダウンロードページに飛ばされるが閉じ、アプリを起動させよう。
ログイン
作成したアカウント情報を入力しよう。Usernameにはメールアドレスではなく「ユーザー名」を入れるように。
「Remember me on this device(ユーザー名を記憶)」・「Start with device(起動時にこのアプリも起動させる)」はおこのみだが、基本はチェックを入れてよい。
ログインが成功するとプラスプランを強制的に7日間試すことができ、7日間終了後は無料プランに自動で戻る。
「このボタンを押すと簡単に接続できます」と言われるので、試しに押してみよう。
そうするとProtonVPNを許可するための接続リクエストがでるので許可していく。
接続状況が出現し、「激烈に安全な状態」にはなった。
7日間だけすべての機能が使えるので、いろいろ試してもいいだろう。
使い方
ここからは7日間の無料期間が切れた前提で進めていく。
例のごとく「日本・アメリカ・オランダ」のサーバーのみ使え、一つの国に無料サーバー(FREE)が2つ用意された「計6つ」が使える。
ProtonVPNマークをタップすると自動でJapanを判別してくれるようなので、基本的にはこのマークをタップして接続していれば問題ない。
Settings(設定)
スマホアプリは初期設定で問題ないが、どんなものがあるか確認しよう。
ウィンドウ左上の「ハンバーガーメニュー」→「Settings(設定)」をタップ。
ログイン時に「スマホ起動時、ProtonVPNを起動する」の設定をしていなかったら、ここでしておくといい。
当たり前だがずっと起動させると電池の消耗が凄いことになる。
Split Tunneling(スプリットトンネリング)
「Settings(設定)」の一番下にある項目のことで、VPN接続を除外できる?
おそらく以下の目的で使われる機能。
- ゲームなどVPNを通す必要がなく、通信速度低下を避けたい
- 不調をきたすアプリを除外したい
- VPN接続中にSNSなどにログインする際、今までログインしていたIPと紐付けられてSNS側にバレてしまうのを防止?
ゲームは真っ先に付けても良さそうだが、外国からアクセスする場合は除外する必要なし。
3つめがそれっぽい本命だが、詳しくは理解していないため期待しないように。
Profile(プロファイル)を設定
「Settings(設定)」の章ではQuick Connect(すぐ接続)を「Fastest(最速)」のままにしたが、国とサーバー1つを絞ってQuick Connectにすることは可能。
最終的に「スマホ起動時、指定した国のサーバーを起動する」といった設定になる。
「PROFILE(プロファイル)」をクリックしてから「CREATE PROFILE(PROFILE作成)」をクリック。
そうするとProfile(プロファイル)を設定できるので、識別しやすいように名前・色を選択 → お好きな「Country(国)」→「お好きなサーバー番号)」→「フロッピーディスクマーク」をタップして保存しよう。
これでProfileが完成した。
あとはQuick Connect項目に作成したProfileを選択。
これですべての設定を紹介し終えたので、改悪されないよう祈るだけだ。
パソコン版の設定
パソコン版の設定はこちら。やっていることが一緒なので、ダウンロードと設定方法だけ参考にしよう。
ProtonVPNで安心しきってもいいが、そこに付け込まれたくなければ隙きをなくそう。
コメント
Cloudflare WARPの記事は書かないんですか?
WireGuardベースらしいっすよ
Cloudflareの1.1.1.1の設定(ルータなのかな?)をやる時にWARPとかをついでにやる予定なので、かなり後回しですが忘れているわけではないのでいつかします∩(・∀・∩
先日のAndroidアプリがアップデートし新アプリ「ProtonVPN2.0」と言う名称になりました。
アップデート内容は、OpenVPプロコトルの採用と、接続の安定が盛り込まれているらしいです。
PC,iPhone版はまだ分かりませんが、多分もう少しで配信されると思われます。
また、このアップデートに伴いAndroid 4以下のバージョンのサポートも終了するみたいです。
この事を追記した方が良いのではないでしょうか?ちなみにソースはProtonVPN 2.0 for AndroidがOpenVPNをサポートするようになりました-ProtonVPNブログです。
Androidのリンクが死んでたのでしなきゃダメでした。サボって遅れてごめんなさい!
AndroidのQRコード画像は時間をおけばCDNが更新してくれるとして、リンク先は既に変更が完了しています∩(・∀・∩
iOS版くるの遅かったから、アプリの内容はiOS版が来てから書き換えることにします。
話変わりますがタイムリーなことに、昨日オープンソースになって監査が終わったようですね。
参考All ProtonVPN apps are 100% open source – ProtonVPN Blog
Nordが監査してからExpressもしたりと、ここぞとばかりとどこも安全性アピール合戦になってる(´ε`;)
ご返信ありがとうございます
そして、いくつかタイピングミスをしてしまい誠に申し訳ありませんm(_ _)m
昨日ProtonVPNがオープンソースになったのは初耳でした∑(゚Д゚)
私は今までもオープンソースなのかなぁ?と思ってたので(笑)
気にしなくて大丈夫です!
Mullvadも確かオープンソースがどうのこうのだったので、もしかしたらNordとExpressが取り残される時代がくるのかもしれませんね(゚~゚o)
元記事復活
https://www.alt-movements.org/no_more_capitalism/blog/2018/12/22/how_to_protonmail/
authy役立ちました。ありがとうございます
WebアーカイブのURLを元記事に差し替えておきました!
Authyアイコン増やしてくれないかな……(´ε`;)(愚痴)
記事や過去の投稿とは無関係で場違いかもしれないが、書くところがないので。
protonvpnでなく、protonmailの
正しいアカウント作成方法と作成後の適切な初期設定ですが、
アカウント作成ページにて、「ユーザ名とドメイン」欄について
ドメインを.com、.chのどちらか決める場面がありますが、
.chにするとよいらしいです。
https://protonmail.com/support/knowledge-base/what-is-the-difference-between-protonmail-com-and-protonmail-ch/
政治的圧力を受けても.ch宛のメールは米国にアクセスされないらしいです。
あと、アカウント作成後の適切な初期設定ですが、
設定にて「メールコンテンツの制御」における「埋め込み画像の読み込み」を手動にする。
暗号鍵の強化について
初期設定では、rsa 2048bitが利用されています。
ただ、量子コンピュータによるrsaの解読の可能性があり、
rsa 2048bitから楕円曲線署名であるed25519に変更すべきです。
その際、不要なrsa鍵は削除すべきですが、メールデータにアクセスできなくなります。
また、現時点で連絡先の暗号鍵は変更と強化できないようです。
よって、protonmailのアカウントの譲渡はできない筈です。
というのも、アカウント作成者が連絡先の暗号鍵のうち、
秘密鍵を秘密裏にエクスポートしてから、他人にアカウント譲渡をする事が可能なため。
メールの暗号鍵の強化の手順
「新しい鍵を追加」から強化したいアドレスを選択する。
3つの鍵が選択できるので、「state-of-the-art X25519 (Modern, fastest, secure)」
を選択し、鍵生成する。
次に、強化したed25519鍵を有効化するために、
さきほどのメアドを選択し、鍵一覧にて、
新たに生成した「ECC (ed25519)」をプライマリーにする。
次に、初期設定の弱い鍵である「rsa (2048)」を削除する。警告が表示されるが無視する。
すると、鍵のバックアップを要求されるがそれも無視する。
これにて、二度と復号鍵が手に入らなくなり、
過去のメールデータは運営だけでなくユーザーも解読できなくなる。
よって、弱い鍵から強い鍵への変更と、弱い鍵の削除が完了する。
初期設定の暗号鍵を削除して良い理由
これはアカウント作成して間もない場合に有効です。
すでにrsa鍵で送受信している場合はやめるべきです。
protonmailはアカウント作成時に、初期の受信箱には3通のユーザー向けのメールが入っているが、
新規作成したアカウントにはどれも必ず同じ内容のメールが入ってるため、実質不要
(gmailやyahooでも同じ。)
そのため、見れなくなろうと問題ないし、暗号鍵を強化するほうが重要です。
なお、protonmailは運営者がメール本文にはアクセスできない仕様ですが、
・「パスワードの変更」
・上記の「暗号鍵の削除」
を行うと、それまでのデータは復元できず、暗号化データとして残るので、
メール本文以外のメタデータ(件名や差出人等)は依然として見れる。
以上です。間違いありましたらすみません。
Protonmail記事作成のプレッシャーがすごいことなってる!(゚~゚o)
途中で聞かれたらこの方法に促しますし、これはProtonmail記事作成時にこの方法を紹介するでしょう∩(・∀・∩
そのときはcbcさんの名前、というかこのcbcってあのcbcだと思いますし、なんかちょっとアレかもしれませんが、記事途中にcbcさんの名前がでちゃうと思うので、そのときはよろしくお願いします(今年中は超きついけども!)。
全然後回しでいいです。
名前掲載も(どうせ匿名なので)可です。
ありがとうございます。
ホイ( ・ω・)/
LINEの記事パワーアップしててすごいです。
LINEユーザを最終的にsignalやlokiへ誘う流れもあって。
あと、今後はcbcでなく公益通報研究所で活動していきます。
ツイッターでよく見かけてると思います。
あ、同一性ですが、過去の言動を見れば両者が似てると思いませんか?
(トリップをお願いしたのはこのためですが、5chのように荒れないし、
費用対コスト的にやっぱり無くてもいいかも。記事メインのサイトだと思うので、)
protonvpnの記事での引用はcbcでなく公益通報研究所でお願いします。
最後に、protonmail社がgoogleに対抗する目的で、
ProtonCalendar,ProtonDrive,ProtonContactも構築中で
来月か来年には稼働のようです。
そして、それらすべてが稼働したらセキュリティキーによる、
二要素認証のSSO認証ができるようになるとのこと。
そのときも、一般人向けで中立性のあるわかりやすい記事を期待しています。
やっぱり同一人物だったのね(゚~゚o)
どう考えても喋り方と詳しさと心強さが一緒だけど、隠してるのかな~と思って勝手に察してました 笑
Protonメール紹介する際に公益通報研究所さんからの引用とする件は了解! 私は公益さんって呼びます(Twitterの名前なんて読んでいいのかわからなかったので助かります)
Google対抗はビックリですね。この辺はいったいいつになることやら……(やってもDriveだけかも)
LINEはまだSignalの記事を書いてすらいないので、自然に記事中に紛れ込ませて読ませる方向で書いていますが、私的には不完全かな?
完全版は記事中最後に新しい章を別に作り、そこでSignalの記事に促す~という流れの理想を目指しています。
「ProtonMailをめぐる疑念から、問題の深刻さを考えたい – ne plu kapitalismo」
https://www.alt-movements.org/no_more_capitalism/blog/2019/06/25/protonmail-realtime-monitoring/
ぷっぷ追記:
元記事共々ページが消えていました(元記事はただのエラー?)。Googleのキャッシュからまだ見れるようです。元記事復活。protonvpnもやばいのでは?
あと、tls suiteのcbc mode無効化したらどうですか?
すべてにアンテナを張っているわけじゃないのですぐに気付けませんが、現時点で「わからない」状態ではないでしょうか。
実際cbcさんも「やばいのでは?」と疑問形ですし、私も「事実だったらやばそう」と思いますが、事実かどうかまだわかっていないので、どう動くべきかをうまく答えられそうにないです。
いまのところLINEやKasperskyと似ている「このまま何も見つからずに月日が流れる展開」だと思います(゚~゚o)
元記事が消滅してもいいように、元ネタの記事を置いておきます。
この件を物申した弁護士の記事。
参考
ProtonMail voluntarily offers Assistance for Real-Time Surveillance | Steiger Legal(ページ消失:2020年3月9日追記)それに対して反論したProtonmail。
参考Response to false statements on law enforcement surveillance made by Martin Steiger – ProtonMail Blog
参考protonmailのツイート
上記の件でざわざわしているReddit。
参考ProtonMail voluntarily offers Assistance for Real-Time Surveillance | Steiger Legal : technology
Hacker News。
参考ProtonMail Voluntarily Offers Assistance for Real-Time Surveillance? | Hacker News
犯罪に使ったらぶっ飛ばします宣言(透明性レポート)
参考Transparency Report – ProtonMail Blog
追記:Protonmailと弁護士さんのバトルツイート「リアルタイム監視しているの?」→「エンドツーエンドだからできません」→「じゃあスイスの法律(art. 26 SPTA)は何?」
Protonmailがいくら主張しても、スイスの法律が監視を義務付けてるってことなのかな?翻訳が危うすぎるレベル……。
デリケートなので原文要参照。とりあえず、当サイトは現時点で様子見。
えっ(゚Д゚;)そんなのあったの……。DNSSECだけでもいっぱいいっぱいなのに!
なんだか脆弱性があるみたいですが、専門性が高いようなので、何か解決の糸口(ヒント)を教えていただけないでしょうか?
※具体的に言うとcbc modeが無効化されたかの確認方法を教えてもらえるとうれしいです。現在いじったりしてますが、どれが正解なのかわからない状態のため。
ちなみに、httpsはCloudflareのものをただ有効にしただけです。
TLSも1.2以上を強制しているのかな?それ以下は拒否される設定です。「Minimum TLS Version」設定のこと
となると、ほとんどのサイトは対応できてないってことなのかな。う~ん
15時ころにさらなる追記:サーバーの証明書検査ってもしかしてQualysのSSLサーバーテストですか?
参考やりすぎセキュリティの結果
昔やってA+だったのでソレっきり見てなかったのですが、確かにCBCというものに「WEAK(弱い)」と付いちゃってますね(´ε`;)
これっぽい!でも、何をするのか全然進まないからやっぱりヒントくださいーー
Cipher Suites – Cloudflare SSL
shaは、AES128-SHA、AES256-SHAを無効化、
ただ、ECDHE-RSA-AES256-SHA384のように、rsaなら暗号利用モードが不定なので、これを消せばいいですが、
ecdsaの場合、sha2系は、gcmとついてますね。なぜcbcありなのか。
「Restricting at edge」に記載のホワイトリストはエンタープライズだから、
やはりむりなんですかね。
普通のapache2でも消せないですし
ApacheのことをApache2というcbcさんが何者さんすぎて気になる(゚~゚o)
知識爆発尊敬していますし、とても参考にしています。
う~ん将来的には仮想環境にGCPのどうたらこうたらでレンタルサーバーから乗り換えする予定なのですが(かなり気が早いうえすごいお金持ち前提)、その時にこの件を思い出すように仕込んでおきました。
Cloudflareが対応してくれないかな~