WebRTCリーク:あなたの実際のIPアドレスが漏洩する仕組み
VPNはオンになっています。出口ノードはあなたがチューリッヒにいると表示しています。ウォレットは匿名性を感じさせます。しかし、ブラウザに組み込まれたある機能が、あなたの本当のIPアドレス(あなたの自宅と名前に関連付けられたIPアドレス)をウェブサイトに密かに伝えてしまうのです。その機能とはWebRTCであり、この機能がもたらす脆弱性はWebRTCリークと呼ばれます。
ほとんどの人にとって、これはプライバシー上の問題に過ぎません。しかし、仮想通貨を保有する人にとっては、どのウォレットがどの家のものか、見知らぬ人が知ってしまうという連鎖の最初の段階です。このガイドでは、その連鎖の残りの部分、つまりWebRTCリークとは何か、VPNをどのようにすり抜けるのか、それをテストする方法、そしてあらゆるブラウザでそれを遮断する方法を解説します。さらに、ブラウザがウォレットにアクセスした瞬間に、なぜそれがより重要になるのかについても説明します。
WebRTCリークとは何か、そしてなぜ発生するのか
WebRTCはWeb Real-Time Communicationの略です。簡単に言うと、ブラウザでプラグインなしでビデオ通話、音声チャット、ファイル転送を可能にする基盤となる技術で、2011年頃から主要なブラウザすべてに搭載されています。問題はここからです。2人を直接接続するには、それぞれが相手のIPアドレスを知る必要があります。これはバグではなく、WebRTCの仕組みそのものです。
問題は、どのウェブサイトでもこれをトリガーできることだ。ページがバックグラウンドでWebRTC接続を開き、ブラウザが提供するIPアドレスを読み取る。許可を求めるプロンプトも、目に見えるマークもない。VPN経由でこれを実行すると、実際のアドレスが表示され、WebRTCリークが発生する。これは何も新しいことではない。開発者のDaniel Roeslerは2015年1月に、VPNユーザーのブラウザから直接実際のIPアドレスを取得する動作実証を公開した。10年経った今でも、その仕組みはほとんど変わっていない。
このマルウェアの厄介な点は、その巧妙さにある。ポップアップも表示されず、許可を求めるプロンプトも出ない。アドレスバーにも何も表示されない。通常のユーザーが確認するようなネットワークログにもリクエストは記録されず、広告ブロッカーもこれを無視する。なぜなら、ブラウザにはトラッカーではなく、通常のWebRTC設定に見えるからだ。つまり、有料VPN、クリーンブラウザ、広告ブロッカーを同時に使用していても、最初にアドレスを要求するページに実際のアドレスを渡してしまう可能性がある。目に見えず、日常的に行われる。まさにこのことが、この情報漏洩が10年間も生き残ってきた理由なのだ。
情報漏洩の仕組み:STUN、NAT、そしてあなたのIPアドレス
VPNがWebRTCの漏洩から自動的に身を守ってくれない理由を理解するには、ブラウザが内部で実際に何をしているのかを確認することが役立ちます。
STUNとICE、そのメカニズム
ほとんどのデバイスはNAT(ネットワークアドレス変換)を実行するルーターの背後にあるため、コンピュータは自身のパブリックアドレスを知りません。WebRTCは、それを見つけるためにSTUNサーバーと呼ばれるヘルパーを使用します。ブラウザはSTUNサーバーに「あなたのいる場所から、私の発信元アドレスはどれですか?」という簡単な質問をします。サーバーはあなたのパブリックIPアドレスで答えます。WebRTCは、ICE候補と呼ばれるこれらの回答をいくつか収集し、ピアが経路を選択できるようにリスト化します。盗聴サイトは、そのリストを読み取るだけです。これでゲームオーバーです。
なぜそれが重要なのでしょうか?それは、STUN通信全体がJavaScriptで実行され、どのページからでも実行できるからです。カメラや位置情報のようにダイアログボックスが表示されることはありません。スクリプトはピア接続を開き、ブラウザが生成するICE候補を取得し、リストからアドレスを読み取ります。これらすべてがほんの一瞬で行われ、ブラウザには何も異常は見えません。WebRTCが本来果たすべき役割を、スクリプトはただ実行しただけなのです。
パブリックIPとローカルIP
WebRTCは2種類の異なるアドレスを渡すことができ、それぞれ異なる情報を提供します。パブリックIPアドレスは、おおよその位置情報とインターネットプロバイダを示します。ローカルIPアドレス(例えば192.168.1.7)は、自宅やオフィス内のネットワークをマッピングするだけです。どちらも、無作為のウェブサイトに渡るべきものではありません。しかし、問題なのはパブリックIPアドレスです。なぜなら、それは現実世界、つまり都市、プロバイダ、そして最終的には玄関へと繋がるからです。
VPNがそれを阻止できない理由
VPNは通常のトラフィックを迂回します。問題は、STUNリクエストがそのトンネルをすり抜けてSTUNサーバーに直接到達し、実際のパブリックIPアドレスを携えて戻ってくる可能性があることです。ブラウザは2019年と2020年にこの問題の一部を修正し、ローカルIPアドレスをスクランブルされたmDNSホスト名に置き換えました。これは役立ちますが、ローカル候補を隠すだけで、STUNからのパブリックIPアドレスは依然として漏洩する可能性があります。さらに悪いことに、サイトがマイクやカメラのアクセス許可を得た瞬間にマスキングが解除されることがよくあります。そのため、ほとんどの人が安全だと考えている場所で情報漏洩が残ってしまうのです。
WebRTCリークテストを正しく実行する方法
確認には約1分しかかかりませんし、誰かの言葉を鵜呑みにする必要もありません。
VPNをオフにした状態で、接続時に表示されるパブリックIPアドレスをメモしてください。次にVPNをオンにして、WebRTCリークテストページ(browserleaks.com/webrtcやipleak.netなど)を開きます。結果を比較してください。VPNが正常に機能していてIPリークが発生していない場合は、VPNのアドレスのみが表示されるはずです。手順1でメモしたIPアドレスがページ上のどこかに表示された場合は、リーク箇所が見つかったことになります。ブラウザが公開するすべての情報をより詳細に把握するには、BrowserLeaksガイドで解説しているより広範なチェック項目にも同じロジックが適用されます。
WebRTCのリークチェックを行う際に、いくつか注意すべき点があります。例えば、末尾が「.local」で終わる、文字化けした文字列のようなローカルIPアドレスが表示される場合があります。しかし、これはmDNSマスキングが正しく機能しているためであり、リークではありません。重要なのはパブリックIPアドレスです。機密情報を扱う際に使用するブラウザとプロファイルで必ずテストを行ってください。設定や拡張機能はブラウザ間で引き継がれません。また、パッチによってこれらの設定が密かに元に戻ってしまう可能性があるため、ブラウザのアップデート後には必ず再度テストを実行してください。
どのブラウザがIPアドレスを漏洩し、どのブラウザが漏洩しないのか
すべてのブラウザがWebRTCの漏洩を同じように処理するわけではなく、市場の分割状況を考えると、その違いは重要となる。
| ブラウザ | WebRTC漏洩リスク | 内蔵保護機能 |
|---|---|---|
| クロム | 高い | ネイティブではありません。拡張機能が必要です。 |
| ファイアフォックス | 中高 | デフォルトでは公開IPアドレスを漏洩するが、簡単に無効化できる |
| 勇敢な | 低い | 指紋認証とWebRTC保護はデフォルトで有効になっています |
| Torブラウザ | なし | RTCPeerConnectionは完全に無効になっています |
Chromeは、その普及率の高さゆえに、この問題の中心に位置しています。2026年5月時点で 世界のブラウザ市場の約70%を占めており、WebRTCがIPアドレスを漏洩するのを防ぐためのネイティブスイッチは搭載されていません。Firefoxはシェア約2%ですが、デフォルトで公開IPアドレスを漏洩させてしまいます。ただし、少なくとも設定でこの機能を無効にすることができます。Braveは明るい兆しです。2025年9月には月間アクティブユーザー数が1億100万人を超え、WebRTC保護を標準で有効にしている唯一の主流Chromiumブラウザです。そしてTorは?Torはピア接続を完全に無効にすることでこの問題を回避しており、まさにこれがプライバシー研究者が新規ユーザーをTorに誘導し続ける理由です。
WebRTCを無効にして情報漏洩を防ぐ方法
これを無効にする方法は2つあります。WebRTCを完全に無効にするか、指定したアドレスのみにアクセスするように設定するかです。どちらを選ぶかは、実際にブラウザでビデオ通話を行うかどうかによって異なります。以下に、ブラウザごとの具体的な手順を説明します。
| ブラウザ | 無効化または制限する方法 | 効果 |
|---|---|---|
| ファイアフォックス | about:config で media.peerconnection.enabled を false に設定します。 | 完全無効化 |
| クロム | WebRTC Network LimiterまたはWebRTC Controlをインストールしてください。 | 暴露を制限する |
| 角 | edge://flagsで「ローカルIPアドレスを匿名化する」を有効にする | 部分的 |
| サファリ | メニューの開発、実験的機能、WebRTCの制限 | 部分的 |
ChromeとEdge
Chromeは扱いにくいブラウザです。メニューの中にオフスイッチが隠されていないため、WebRTCをブロックするには拡張機能が必要です。Googleは独自のWebRTC Network Limiterを公開しています。これは通話を切断することなく、危険なアドレスを遮断します。もっと直接的な方法が欲しいですか?WebRTC Controlを使えば、ワンクリックでオフにできます。Microsoft Edgeも同じChromiumエンジンで動作するため、これらの拡張機能はEdgeでも動作しますが、edge://flagsにローカルIPを匿名化する便利なフラグも隠されています。
ファイアフォックス
Firefoxなら簡単です。アドレスバーに「about:config」と入力し、警告メッセージを無視して「media.peerconnection.enabled」を検索し、「false」に切り替えるだけです。これでWebRTCは無効になります。ただし、注意点があります。WebRTCを再度有効にするまで、ブラウザ内でのビデオ通話と音声通話は利用できなくなります。
サファリとオペラ
Safariはデフォルトでより安全な設定になっており、開発メニューの実験的機能からWebRTCをさらに厳格化できます。OperaはChromiumをベースにしているため、Chromeで動作するのと同じ拡張機能に依存しています。
VPNの使用とそのトレードオフ
次に、VPN ルートがあります。真のリーク保護機能を備えた VPN を使用すると、WebRTC トラフィックは独自のトンネルを経由するため、STUN サーバーは VPN のアドレスしか認識しません。通話が継続して機能し、信頼できるプロキシ サーバーも同様に IP リークを防ぐことができるため、最もクリーンなオプションです。ただし、信頼性が重要です。すべての VPN が実際にこれを行うわけではありません。VoidSec が2018 年に 70 社の VPN プロバイダーをテストしたところ、16 社が WebRTC を介して実際の IP を漏洩していました。約 23% です。優良な VPN プロバイダーはその後修正しましたが、教訓は変わりません。テストを行い、思い込みをしないことです。徹底的なルートをご希望ですか?WebRTC を完全に無効にしてください。ただし、WebRTC に依存するすべてのものが動作しなくなることを覚えておいてください。
WebRTCのリークが仮想通貨保有者を脅かす理由
仮想通貨ユーザーにとって、IPアドレスの公開はプライバシーに関する些細な問題ではない。それは、仮想世界と現実世界との境界線であり、近年、その境界線は危険なものになりつつある。
IPアドレスからウォレットへのキルチェーン
ブロックチェーンのアドレスは匿名ではなく、仮名です。あなたがこれまでに行ったすべての取引は、誰でも見ることができます。それがあなたを指し示さない唯一の理由は、名前や場所といったラベルが欠けていることです。IPアドレスはそのラベルです。そして、研究者たちは10年以上前に、このリンクが実用的であることを証明しました。 2014年の研究で、アレクサンドル・ビリュコフ氏らは、適切な場所に配置された少数のノードを使用して、ビットコインの仮名を、最初に取引をブロードキャストしたIPアドレスに結び付けました。WebRTCの漏洩は、攻撃者に同じ接続を無料で提供してしまいます。実際のIPアドレスが公開されている状態でブロックエクスプローラーやDEXを開くと、1つのページで、あなたが監視しているウォレットをあなたの自宅とプロバイダに紐付けることができます。
さらに危険は深刻です。なぜなら、情報漏洩は取引の途中で発生する必要はなく、残高確認やマーケットプレイスの閲覧中に、悪意のあるスクリプトが実行されるページで一度でも発生すれば良いからです。その後はどうなるでしょうか?IPアドレスはISPの記録、データブローカーのプロファイル、過去の情報漏洩記録などと照合されます。遅かれ早かれ、その名前が定着してしまうのです。ウォレット自体は最初から公開されていました。情報漏洩は単にその名前を世間に知らしめたに過ぎません。
匿名解除からドアをノックするまで
これはかつては抽象的な懸念事項だった。しかし、もはやそうではない。いわゆるレンチ攻撃(キーを奪われたり、キーを奪われたりする攻撃)は、 業界の追跡調査によると、2025年に約75%増加し、72件の事件が確認され、少なくとも4100万ドルが盗まれた。そのパターンはほとんど変わっていない。攻撃者は、目に見えるオンチェーンの資産とオフチェーンのIDを組み合わせて、実在の人物を実在のアドレスに結びつける。あなたのIPアドレスは、その後半部分を特定する最も確実な方法の1つである。
視点を変えて、攻撃者の立場になって考えてみましょう。攻撃者は、どのウォレットに実際のお金が入っているかは既に把握しています。それは公開されている情報だからです。彼らに欠けているのは、アドレスから玄関までの地図です。IPアドレスがあれば、インターネット全体から都市、ISP、多くの場合、特定の地域まで検索範囲を絞り込むことができます。あとは、ごく普通の調査です。一般のブラウザユーザーにとって、このような情報漏洩は大した問題ではありません。しかし、7桁の金額をオンチェーンで保有している人物にとっては、それは偽名と標的の境界線です。このギャップこそが、仮想通貨ユーザーがWebRTCの情報漏洩をオンラインプライバシー設定ではなく、セキュリティ設定で報告すべき理由なのです。
あなたのIPアドレスは個人データです
法的な側面もあります。2016年、欧州司法裁判所はブレイヤー事件において、動的IPアドレスであっても、合理的に利用して個人を特定できる可能性がある限り、個人データに該当するとの判決を下しました。この論理に基づけば、WebRTCを通じてユーザーのIPアドレスを密かに収集しているサイトは、同意なしに個人データを処理していることになります。これは情報漏洩を完全に防ぐものではありませんが、ブラウザが無料で提供するこの情報を規制当局がどれほど深刻に捉えているかを示しています。
漏れが発生する前に塞げ
WebRTC の漏洩は静かに発生し、許可を求めず、VPN だけでは防ぐことができません。ですから、防御策を複数講じましょう。デフォルトで保護してくれるブラウザを選ぶか、WebRTC が保護してくれないブラウザでは WebRTC を無効にしてください。IP を隠すために、実際に漏洩テストに合格する VPN を実行してください。アップデートのたびに再確認してください。資金を移動させる人にとって、目標は明確で、はっきりと述べておく価値があります。ウォレットと IP のリンクがそもそも形成されないようにしてください。一度リンクが形成されると、元に戻すことはできません。では、ブラウザが実際に何を漏洩しているかを最後にテストしたのはいつですか?
