iCloud Private Relayとは？

iCloud Private Relayとは？

iCloud Private Relayは、iCloud+に含まれるAppleのサービスで、AppleのSafariブラウザを使用しているユーザーを追跡しにくくすることで、この問題を解決するように設計されています。ユーザーのDNSレコードとIPアドレスをマスクします。これはまた、ネットワークプロバイダーやウェブサイトをまたいだ活動の追跡を防ぐのに役立ち、ユーザーのプロファイリングに基づいて構築された広告ターゲティングやフィッシング攻撃を防ぎます。このシステムは、ユーザー以外の誰にもオンライン活動を監視されないように設計されています。

iCloud Private Relayの機能とは？

iCloud Private Relayは、アクセスしたウェブサイトからあなたのIPアドレスを隠すことで、あなたのインターネット活動を非公開に保ちます。iCloud Private Relayは、DNSクエリを難読化することで、Webサイトへのリクエストを非公開に保ちます。

Private Relayの仕組み

iCloud Private Relay は、インターネットリソースへのリクエストをリクエスト元の身元から分離します。これは、2つの安全な「ホップ」（インターネットリレー）を介してリクエストを送信することによって行われます。

あなたのIPアドレスは、あなたのネットワークプロバイダーと、アップルが運営する「イングレスサーバー」と呼ばれる最初のリレーには表示されます。しかし、コンテンツはその後、サードパーティのコンテンツ・デリバリー・ネットワーク（CDN）が運営する第2のリレー（「イグレス・サーバー」）を経由して送信されます。CDNには、Akamai、Cloudflare、Fastlyなどが知られている。

この2番目のリレーは暗号化されたDNSリクエストを見ますが、誰がそのリクエストを行っているかについては何も知りません。DNS レコードは暗号化され、実際の IP アドレスはクエリから分離されるため、チェーン内の誰もお客様の活動を追跡することはできません。リクエストが行われると、デスティネーションサーバーは、そのリクエストがイグレスサーバーから来ていることだけを知ることができ、イグレスサーバーはユーザーとは関係のない一時的なIPアドレスを提供します。

使用中、これらの一時的なIPアドレスは、追加の保護のために時間の経過とともに変更され、処理のために別のCDNに渡されることもあり、ユーザーを追跡することはさらに難しくなります。レスポンスはイグレス・サーバーに送信され、イグレス・サーバーは暗号化された形でアップルが管理するイングレス・サーバーに送信する。そして、ユーザーがアクセスしたいウェブサイトなどのデータがユーザーに配信される。

アップルが知っているのは、データを誰に送るかだけであり、サードパーティのイグレスサーバーがユーザーのIPアドレスを知ることはない。例外は、ユーザーが地域特有のコンテンツをリクエストした場合だ。このような場合、サーバーはIPアドレスを要求することがある。これを管理するために、iCloud Private Relayは特定の場所を共有しませんが、ユーザーがいる地域を表すIPアドレスを提供します。

iCloud Private Relayはどのようにデータを保護するのですか？

iCloud Private Relayは、インターネット・トランスポートとセキュリティ・プロトコルのホストを利用しています。2つの主要なテクノロジーには、複数のデータストリームを処理するために使用されるQUIC（Quick UDP Internet Connections）プロトコルと、ODoH（Oblivious DNS over HTTPS）があります。後者はアップル、クラウドフレア、ファストリが共同開発したものだ。技術的には、Appleのイングレス・サーバーはMask iCloud URL（例えばmask.icloud.com）を経由してデータをルーティングし、通常はポート443を経由する。

ユーザーはどのようにiCloudプライベートリレーを実装するのですか？

iCloud Private Relayを使用するには、iOS 15、iPadOS 15、またはmacOS 12以降が必要です。また、iCloud+のサブスクリプションも必要です。これらの条件を満たすユーザーは、設定（iPad/iPhone）またはシステム設定（Mac）のiCloudセクションでPrivate Relayを有効にできます。iCloud Private Relayを有効にする際、ユーザーは、ウェブサイトへのアクセスに最適な設定である一般的な位置情報を維持するか、またはユーザーの位置情報をよりわかりにくくするものの、一部のサイトがそのユーザーにとって機能しないことを意味する、国とタイムゾーンのみを共有するかを選択できます。

iCloudプライベート・リレーは、必ずしも最適なセキュリティ・ソリューションとは限りません。例えば、iCloud Private Relayが提供されていない国（中国、ベラルーシ、コロンビア、エジプト、カザフスタン、サウジアラビア、南アフリカ、トルクメニスタン、ウガンダ、フィリピンなど）を訪れた場合、iCloud Private Relayは機能しません。Private Relayが利用できなくなったときと、再び利用できるようになったときに通知が届きますが、利用できない間はネットワークプロバイダやウェブサイトが再びSafariであなたのアクティビティを監視できるようになります。

iCloud Private RelayはVPNとどう違うのですか？

iCloud Private Relayは、ユーザーの追跡やプロファイリングに対してある程度のセキュリティを提供しますが、Virtual Private Network（VPN）ではありません。このシステムはSafari内でのみ機能するように設計されているだけでなく、場所によっては機能しません。

もうひとつの懸念は、iCloud Private Relayのアーキテクチャ上、IPフィルタリング、監視、レート制限に依存しているウェブサイトなど、IPアドレスがないと機能しない可能性があるウェブサイトがあることだ。これに対しては、ユーザはそのサイトを訪問するために保護を完全にオフにすることを選択できますが、サイトごとにPrivate Relayをオフにすることも可能です：

• MacMac：サイトに移動し、Safariの「表示」メニューで「再読み込み」と「IPアドレスの表示」を選択。
• iPhone/iPad：サイトに移動し、ページ設定ボタンをタップし、IPアドレスの表示をタップする。

VPNやインターネットフィルタリングソフトウェアなど、アプリケーションによっては、この機能と互換性のない設定や拡張機能が必要な場合があります。

iCloudプライベートリレーは安全ですか？

技術的に完全に安全なものはありません。iCloud Private Relayに関しては、Safariを使用して行われたインターネットデータのリクエストをPrivate Relay経由で転送するサービスですが、この保護は完全ではありません。例えば、HTTPSではなくHTTPで読み込まれた場合、アップルやそのパートナーは訪問したページのコンテンツにアクセスできる可能性がある。このサービスはSafari以外や一部の国では機能しないため、古典的なVPNサービスよりも安全性に欠ける。

もうひとつの懸念は、iCloud Private RelayはiPhone、iPad、Macからのリクエストであることを明らかにし、iCloud+のサブスクリプションを持つユーザーからのリクエストであることを示唆することだ。

iCloud Private Relayの管理

場合によっては、IT部門が管理対象デバイスでのiCloud Private Relayの使用を制限し、会社の公式VPNを優先させる必要があるかもしれません。また、企業によっては、すべてのネットワーク・トラフィックを監査することを求めるポリシーを持っている場合もあります。Private Relayを使用するデバイスは、本質的にiPhone、iPad、またはMacであり、ユーザーがiCloud+のサブスクリプションを持っていることを検証しますが、Appleはネットワーク管理者がMDMを使用してデバイスごとにこの機能を許可しないようにしています。実装は様々ですが、Disallow iCloud Private Relayコントロール（KandjiのRestrictionsパネルで利用可能）は、サービスの使用を防ぎます。Appleは、 サーバーやネットワーク管理者向けの追加情報を公開している。