Skip to content

iCloud プライベートリレーとは?どのように動作するのか

iCloud プライベートリレーとは

インターネットの大きな問題の一つは、DNS の仕組みにより インターネットサービスプロバイダ(ISP)がユーザの閲覧サイトを追跡できること です。
iCloud プライベートリレー は Apple が iCloud+ の機能として提供するサービスで、Safari を利用する際にユーザの追跡を困難にすることを目的としています。

この機能は次の情報を隠します。

  • DNS リクエスト
  • IP アドレス

これにより、ネットワーク事業者や Web サイトによる ユーザ行動の追跡、広告ターゲティング、フィッシング攻撃 などを防ぐ助けになります。システムは、ユーザ以外がオンライン活動を監視できないよう設計されています。

iCloud プライベートリレーの機能

iCloud プライベートリレーは次の仕組みでプライバシーを保護します。

  • 訪問先サイトから ユーザの IP アドレスを隠す
  • デバイスから送信されるデータを 暗号化
  • DNS クエリを隠して 閲覧サイトを秘匿

これにより、中間者攻撃(MITM)による監視 を防ぎ、通信内容のプライバシーを保護します。

iCloud プライベートリレーの仕組み

iCloud プライベートリレーは、インターネットリクエストとユーザの身元を分離する仕組みです。通信は 2つの中継サーバー(リレー) を通過します。

1. Ingress サーバー(Apple)

最初のリレーは Apple が運用する Ingress サーバーです。

このサーバーは次の情報を見ることができます。

  • ユーザの IP アドレス
  • ネットワーク接続

しかし、アクセス先の内容は確認できません。

2. Egress サーバー(CDN)

通信は次に Egress サーバーへ送られます。
このサーバーは 第三者の CDN(Content Delivery Network) が運用します。

主な CDN には次の企業があります。

  • Akamai
  • Cloudflare
  • Fastly

Egress サーバーは 暗号化された DNS リクエストのみを見ることができますが、ユーザの IP アドレスはわかりません。

その結果、

  • Apple:ユーザは分かるがアクセス先は分からない
  • CDN:アクセス先は分かるがユーザは分からない

という構造になり、誰もユーザの閲覧履歴を完全に追跡できない仕組みになります。

また、Web サイトには ユーザではなく Egress サーバーの一時的な IP アドレス が表示されます。この IP は定期的に変更されるため、追跡がさらに難しくなります。

地域限定コンテンツの場合は、ユーザの正確な位置ではなく地域レベルの IP が提供されます。

iCloud プライベートリレーはどのようにデータを保護するのか

iCloud プライベートリレーは、その機能を実現するために複数のインターネット通信およびセキュリティプロトコルを使用しています。主な技術には次のものがあります。

QUIC(Quick UDP Internet Connections)
複数のデータストリームを効率的に処理するために使用される通信プロトコルです。

ODoH(Oblivious DNS over HTTPS)
Apple、Cloudflare、Fastly が共同で開発した技術で、DNS クエリを秘匿化します。

技術的には、Apple が運用する Ingress サーバー が、通常 ポート 443 を通じて Mask iCloud URL(例:mask.icloud.com) を経由しながらデータをルーティングします。

iCloud プライベートリレーの利用条件

利用には次の条件が必要です。

設定は以下で有効化できます。

iPhone / iPad
設定 → iCloud → プライベートリレー

Mac
システム設定 → Apple ID → iCloud

有効化時には次のオプションを選択できます。

  • おおよその位置情報を共有(推奨)
  • 国とタイムゾーンのみ共有

後者はより匿名性が高いですが、一部サイトが正常に動作しない場合があります。

利用できない国

以下の国ではサービスが提供されていません。

  • 中国
  • ベラルーシ
  • コロンビア
  • エジプト
  • カザフスタン
  • サウジアラビア
  • 南アフリカ
  • トルクメニスタン
  • ウガンダ
  • フィリピン

利用できない場合、Safari の通信は通常の DNS を使用します。

VPN との違い

iCloud プライベートリレーは VPN ではありません

主な違いは次の通りです。

  iCloud プライベートリレー VPN
対象 Safari のみ デバイス全体
IP 隠蔽 一部 完全
国制限 あり 通常なし

また、IP フィルタリングを使用する Web サイトでは正常に動作しない場合があります。

特定サイトのみ無効化することも可能です。

Mac

Safari → 表示 →
「再読み込みして IP アドレスを表示」

iPhone / iPad

ページ設定 →
「IP アドレスを表示」

 

iCloudプライベートリレーは安全か

完全に安全な技術は存在しません。iCloud プライベートリレーにも制限があります。

例えば:

  • HTTP サイトでは通信内容が見える可能性
  • Safari 以外では機能しない
  • 一部の国で利用不可

また、通信元が Apple デバイス(Mac / iPhone / iPad)であることiCloud+ ユーザであること は識別できます。

企業環境での管理

企業環境では、会社 VPN を優先するために プライベートリレー を無効化することがあります。また、すべての通信ログを監査するポリシーを持つ企業もあります。

Apple は MDM を使ってデバイス単位で プライベートリレー を禁止できる仕組みを提供しています。

例えば Iru では、次の設定を使用します。

Disallow iCloud プライベートリレー

この設定を有効にすると、管理対象デバイスで プライベートリレー を利用できなくなります。

Apple はサーバー管理者およびネットワーク管理者向けに追加ドキュメントも公開しています。

最新情報をお届け

ITとセキュリティチームが常に最先端を行くための、Iruの週刊記事、動画、リサーチコレクション。