BrowserLeaks:ブラウザのフィンガープリントとプライバシーをテストする
VPNはIPアドレスを隠します。それがVPNのほぼ全てです。あなたが今これを読んでいるブラウザは、あなたがアクセスするすべてのウェブサイトに対して、画面サイズ、グラフィックカード、マシンにインストールされているフォント、プロセッサが隠し画像を描画する方法など、その他多くの詳細情報を保持しています。これらの詳細情報が組み合わさってブラウザの指紋を形成し、IPアドレスが変わっても、サイトをまたいでもあなたを追跡することができます。
BrowserLeaksは、ブラウザの脆弱性を正確に表示してくれる無料のブラウザテストツールです。20種類以上のテストを実行し、アカウント登録は不要で、データも一切保存しません。このガイドでは、各テストの意味、結果を冷静に読み取る方法、そして実際に脆弱性を解消する方法について解説します。また、多くの仮想通貨ユーザーが見落としている重要な点があります。誰もが推奨する「解決策」が、少なくとも1つの事例では、ウォレットの資金を枯渇させる原因となったのです。
BrowserLeaksとは何か、そしてなぜ重要なのか
BrowserLeaksはプライバシー保護製品ではありません。何かを隠したり、ブロックしたり、購読料を請求したりすることはありません。これは診断ツールであり、ユーザー自身の環境を映し出す鏡のようなものです。browserleaks.comを開き、一連のテストページをクリックすると、Webブラウザが自発的に送信した生データがサイトに表示されます。
この枠組みが重要なのは、BrowserLeaksが意図的に省略している点、つまりスコアがないからです。合格も不合格もなく、緑色のチェックマークも、「プライバシー評価は100点満点中87点です」といった表示もありません。それを不満に思う人もいるでしょう。しかし、私はそれが正直な選択だと考えています。単一の数値で複雑な状況を単純化してしまい、結論を出してしまうことになるからです。そして、この状況はまさに複雑そのものです。このツールは、実際のIPアドレス、WebRTCの結果、キャンバスハッシュ、DNSリゾルバを表示し、解釈はユーザーに委ねています。
このサイトは長年同じモデルで運営されています。無料、ブラウザベース、インストール不要、結果はリアルタイムで表示されます。単一のダッシュボードというよりは、独立したテストページのインデックスとして理解するのが最適です。各ページは単一の情報漏洩箇所を特定するため、具体的にどの部分がリスクにさらされているかを確認できます。マーケティングの主張を鵜呑みにするのではなく、自身のシステム構成を理解したい人にとって、この透明性こそが、正直なプライバシーテストに役立つ理由です。
ブラウザフィンガープリンティングの実際の仕組み
フィンガープリントはクッキーとは異なります。クッキーはウェブサイトがユーザーのコンピュータに保存するファイルであり、削除することができます。一方、フィンガープリントはブラウザが要求に応じて公開する情報から構築されるため、何も保存されていないので削除する必要はありません。これが、シークレットモード、キャッシュのクリア、VPN接続の再起動後もフィンガープリントが機能し続ける理由です。
指紋の組み立て方
単一のシグナルであなたを特定することはできません。画面解像度は数百万人のユーザーと共有されています。ブラウザのバージョン、タイムゾーン、言語も同様です。重要なのは、これらの情報を組み合わせることです。ウェブサイトは、通常のJavaScript APIを通じて、キャンバスレンダリング、WebGLレンダラー文字列、インストールされているフォント、ユーザーエージェント、画面解像度、その他多数の小さな属性を読み取り、それらをハッシュ化して1つの識別子を作成します。それぞれの弱いシグナルは単独では役に立ちませんが、組み合わせることで多くの場合、固有の識別子となります。
VPNやシークレットモードを回避できる理由
VPNはIPアドレスという一つの属性だけを変更します。指紋はネットワークではなく、デバイスとブラウザから生成されます。プライベートウィンドウに切り替えても、同じハードウェアが同じキャンバス画像を描画し、同じGPUを報告し、同じフォントを表示します。IPアドレスは移動しましたが、それ以外はすべて同じです。VPNを使えば匿名性が得られると考える人が陥る落とし穴はまさにここにあります。
実際にはどれくらい一般的なのか
ここで紹介するデータは、予想よりも古く、期待よりも悪いものです。EFFのPanopticlick実験では、約50万のブラウザをテストし、84%が固有のフィンガープリントを持っていることを発見しました。FlashまたはJavaが有効になっている場合は、その割合は94%を超えました。フィンガープリンティングはその後も広がり続けています。カリフォルニア大学サンディエゴ校による2025年の測定調査では、上位2万のウェブサイトの12.7%でキャンバスフィンガープリンティングが使用されていることが分かりました。また、ACM Web Conferenceで発表されたFPTraceと呼ばれる2025年の調査では、フィンガープリントを変更すると、下流のトラッキングチェーンが36,446から6,345に減少(83%減)することが示され、この技術がリアルタイム広告ターゲティングに直接組み込まれており、GDPRに基づいてユーザーがオプトアウトした後も機能し続けていたことが証明されました。BrowserLeaksを自分の設定に対して実行することは、現在どのシグナルを送信しているかを確認する最も速い方法の1つです。
BrowserLeaksの主なテストを一つずつ見ていく
ここからが皆さんが求めていた部分です。BrowserLeaksはチェック項目を個別のページにまとめており、各フィンガープリンティングテストは1つのシグナルを特定します。ここでは、主なテスト項目が明らかにする内容と、問題が画面上で実際にどのように表示されるかを示します。
| テスト | それが明らかにするもの | 赤旗は |
|---|---|---|
| IPアドレス | パブリックIPアドレス、国、都市、ISP、ASN | VPNが別の国を主張しているにもかかわらず、あなたの居住国が表示されています。 |
| WebRTC | VPN経由でもSTUNによる実際のIPアドレス | あなたの実際の場所に一致する2つ目のIPアドレス |
| キャンバス/WebGL | GPU、ドライバー、レンダリングハッシュ | ほとんど誰も共有していない「ユニークな」評価 |
| DNS | どのサーバーがドメインを解決しますか? | VPNではなくISPのリゾルバ |
| フォント / ヘッダー / TLS | システムフォント、ユーザーエージェント、暗号スイート | 特定のコンピュータにのみ適用されるフォントリスト |
IPアドレスと位置情報
最もシンプルなページで、最初に確認すべきページです。パブリックIPアドレスと、それに紐づく場所およびISPが表示されます。VPNをオンにした状態で実行してください。国、都市、またはISPが依然として自分の住所を指している場合は、VPNが想定どおりにルーティングされていない可能性があります。
WebRTCリークテスト
WebRTCはビデオ通話の背後にあるブラウザ機能であり、このサイトで最も有名な情報漏洩の脆弱性です。接続を確立するために、ブラウザはSTUNサーバーに「私の実際のIPアドレスは何ですか?」と問い合わせますが、その回答によって、VPNが有効になっている場合でも実際のIPアドレスが漏洩する可能性があります。完全にトンネル接続されていても、ここで情報が漏洩する可能性があります。WebRTCの漏洩テストで実際の場所と一致するIPアドレスが表示された場合は、まずその漏洩を修正する必要があります。
Canvas、WebGL、およびオーディオフィンガープリント
これらは純粋なフィンガープリンティングであり、ネットワークリークではありません。キャンバスフィンガープリントテストは、ブラウザに隠し画像を描画させ、その結果をハッシュ化します。GPU、ドライバ、オペレーティングシステムのわずかな違いが、そのハッシュを固有のものにします。WebGLは3Dレンダリングで同様のことを行い、グラフィックカード名を特定します。オーディオテストは、ハードウェアがどのように音を処理するかをプロファイリングします。これらのテストはいずれもIPアドレスを明らかにするものではありませんが、これらを組み合わせることで、サイト間を移動する際に追跡される識別子を構築します。
DNSリークテスト
VPNが正常に動作していても、ブラウザはドメイン検索をトンネル経由ではなく、インターネットプロバイダのサーバーに直接送信してしまうことがあります。つまり、ISPや監視している人は、あなたがアクセスしたすべてのサイトを名前で把握できてしまうのです。こうしたDNSリークは見落としやすいものです。DNSリークテストでは、どのDNSサーバーがクエリに応答したかが表示されます。そこにISPが表示されていれば、トラフィックがトンネルから漏れ出していることになります。
フォント、ヘッダー、クライアントヒント、TLS
より静かなテストによって全体像が明らかになります。フォントページには、システムにインストールされている正確なフォントが一覧表示されます。これは驚くほど強力な識別子です。HTTPヘッダーとクライアントヒントからは、ユーザーエージェント、言語、デバイスクラスが明らかになります。SSL/TLSページは、接続の暗号スイートとハンドシェイク(JA3およびJA4署名)を読み取ります。これにより、ブラウザがどのようなデバイスであるかに関係なく、ネットワーク層でユーザーを特定できます。
ブラウザのプライバシー設定結果の読み方
BrowserLeaksを初めて開いたときに多くの人が抱く直感を覆すルールはこうだ。固有のフィンガープリントは良くないが、一貫性のないフィンガープリントはさらに悪い。トラッカーや不正対策システムは、単に珍しい値を探しているわけではない。意味をなさない組み合わせを探しているのだ。
BrowserLeaksは合否判定を行わないため、何をスキャンしているのかを把握しておく必要があります。最も分かりやすい警告サインは、不一致です。IPアドレスがフランクフルトなのにタイムゾーンがニューヨークに設定されている場合。IPアドレスがブラジルに設定されているのにブラウザの言語がベトナム語になっている場合。GPU文字列が「VMware」、「VirtualBox」、または「Microsoft Basic Render Driver」と表示され、仮想マシンを使用していることが分かる場合。VPNが別の場所にいると主張しているのに、WebRTCで実際のIPアドレスが表示される場合。パブリックIPとローカルIPの両方が同時に表示される場合。
これらのいずれか一つでも欠けていれば、ウェブサイトはあなたの話に矛盾があると判断するでしょう。そして、一貫性のない身元情報は、普通の身元情報よりも疑念を抱かれることが多いのです。ですから、ブラウザのプライバシー設定結果を読むときは、存在しない満点を追い求めるのはやめましょう。各項目が互いに矛盾していないかを確認し、そもそもどれだけのデータポイントを送信しているのかを把握することが大切です。
VPN、プロキシ、またはTorを使用してブラウザのリークを修正する
修正方法には優先順位があり、ほとんどの「究極ガイド」が伝える内容は正直なものではありません。なぜなら、それらのガイドのほとんどは何かを販売しているからです。ツールを使用する前に、まずBrowserLeaksテストを実行して、実際にどのリークに対処しているかを確認してください。以下に、率直な比較を示します。
| アプローチ | 役立つ | 制限 |
|---|---|---|
| 漏洩防止VPN | IPアドレス、位置情報 | キャンバス、フォント、WebGLには何も影響しません |
| WebRTCを無効にする | 実際のIPリーク | WebRTC APIが欠落していること自体が異例である。 |
| 居住用プロキシ | ごく普通のIP | 設定エラーによりDNSとWebRTCのリークが再発する |
| Torブラウザ | IPアドレスと指紋認証を一緒に | 動作が遅い。一部のサイトではブロックされる。 |
VPN、プロキシ、そしてWebRTCの問題
VPNやプロキシを使うのが当然の第一の対策ですが、それだけでは問題の一部しか解決しません。リーク防止機能が組み込まれたVPNを使えば、IPアドレスと位置情報ページの問題が解消されます。ブラウザの設定でWebRTCを無効にすると、実際のIPアドレスの漏洩がなくなります。住宅用プロキシを経由すると、アドレスがデータセンターではなく通常の家庭用接続のように見えるため、プロキシプロバイダーは複数のアカウントを運用しているユーザーを積極的にターゲットにしています。しかし、プロキシはDNSを含むすべてのデータを同じトンネルで伝送する場合にのみ効果を発揮します。HTTPのみを処理するプロキシや、HTTPをバイパスする拡張機能は、まさに解消しようとしていたリークを再び開いてしまうことになります。
なりすましが通常裏目に出る理由
マーケティングとリサーチの境界線はここにある。キャンバス、フォント、ユーザーエージェントをランダムに偽装することは保護のように思えるが、実際には識別されやすくなることが多い。なぜなら、訪問するたびに新しいランダムなフィンガープリントを報告するブラウザ自体が、稀で疑わしいパターンだからだ。2025年のACM Web Conferenceの調査では、18種類の人気のあるフィンガープリンティング対策拡張機能をテストし、18種類すべてを突破した。唯一、Tor Browserだけが抵抗した。2025年10月の別の分析では、ChromeがWebRTC IPリークに対して最も脆弱であることが判明したが、Torはテストしたすべてのプラットフォームでリークしなかった。
指紋を実際に小さくするものは何ですか
効果的なアプローチは、なりすましとは正反対のことをします。つまり、他のユーザーと全く同じように見えるようにするのです。Tor Browserは、設計上、すべてのユーザーにほぼ同一の指紋を与えるため、群衆の中に溶け込むことができます。セキュリティを強化したFirefoxとBraveは、そもそも露出する情報を減らします。Braveは2025年9月までに月間アクティブユーザー数が1億100万人に達しましたが、それでもChromeの世界シェア約68%に比べれば微々たるものです。拡張機能の数を減らすことも効果的です。なぜなら、拡張機能はそれぞれ検出可能な癖を追加するからです。Torは1日あたり約250万人のユーザーを抱えています。数は少ないですが、他のすべてのツールを凌駕するテストに一貫して合格する唯一のツールです。
暗号通貨、アンチ検出ブラウザ、そしてあなたのプライバシー
仮想通貨ユーザーは、一般ユーザーよりもこの問題に関心を持つ強い理由があり、レビューサイトはこの点を軽視しがちです。複数のウォレットや取引所アカウントを管理している場合、共有ブラウザのフィンガープリントと共有IPアドレスによって、それらが密かに紐付けられてしまう可能性があります。チェーン分析企業は既にオンチェーンの挙動をクラスタリングしており、これを一貫したデバイスフィンガープリントと結びつけると、「匿名」アドレス間の分離が崩れ始めます。このような状況に陥った人々は、検出回避ブラウザ、つまり独自のフィンガープリントとプロキシを持つ独立したブラウザプロファイルを作成し、それらのプロファイルをBrowserLeaksでテストしてマスキングが機能していることを確認するツールを利用します。
それは妥当な意見です。妥当でないのは、アンチ検出ブラウザを盲目的に信頼することです。なぜなら、修正策として販売されているツールが、脅威となるという過去の事例が記録されているからです。2025年1月、セキュリティ企業のSlowMistは、指紋認証ブラウザベンダーに対するサプライチェーン攻撃を分析しました。この攻撃では、72時間以内に約3万人の仮想通貨ユーザーから約410万ドルが盗まれました。2023年に発生した別の事件では、3,000以上のウォレットアドレスから41万ドル以上が盗まれました。匿名性を謳っていたソフトウェアが、裏口から秘密鍵を流出させていたのです。
だからといって、これらのツールを避けるべきだという意味ではありません。しかし、アンチディテクトブラウザはセッションへのフルアクセス権限を持つソフトウェアであり、ウォレットと同様に厳重な監視が必要です。ブラウザを隔離し、ベンダーを検証し、BrowserLeaksテストに合格したからといって資金が安全だと決して思い込まないでください。プライバシーとセキュリティは同じ問題ではなく、ツールによっては片方では優れた性能を発揮しても、もう片方では失敗する可能性があります。
BrowserLeaksは一度だけでなく、定期的に実行してください。
プライバシーは一度設定すれば済むものではありません。VPNサーバーを変更したり、拡張機能を追加したり、ブラウザをアップデートしたり、新しいプロファイルを作成したりするたびに、あなたの個人情報は変化し、新たな情報漏洩のリスクが生じます。BrowserLeaksの利点は、チェックに費用がかからないことです。
つまり、実践的な習慣はシンプルです。変更を加えるたびにBrowserLeaksを実行することです。目標は、ほとんど不可能な「見えない存在」になることではなく、ストーリーの一貫性を保ち、合理的に可能な限り少ない情報しか渡さないことです。あなたのブラウザは今、あなたについて何を語っているでしょうか?そして、それは再検証に耐えうるでしょうか?
