SoftEther VPN に関する重要事項説明書 本ソフトウェアの VPN 通信機能はかつてないほど極めて強力であり、正しい使い方によりお客様は大きな利便性と利益を手にすることができます。しかし、誤った使い方を行うと不利益が発生する危険もあります。そのような危険を避けるため、本ソフトウェアのご使用に際してお客様が事前に説明を受けるべき事項を以下に記載いたします。この内容は大変重要ですから、十分理解されるようお願いいたします。また、ダイナミック DNS、NAT トラバーサルまたは VPN Azure 機能をご使用いただく前には下記の 3.5 節の注意書きをよくお読みください。この 3 つの機能はインターネット経由で提供される無償の無保証の学術実験サービスであり、障害の発生が許されないような業務において使用することは想定されておりません。 1. VPN 通信について 1.1. SoftEther VPN プロトコルについて SoftEther VPN は VPN 通信を行うことができます。伝統的な VPN プロトコルとは異なり、SoftEther VPN には新たに設計された「SoftEther VPN プロトコル (SE-VPN プロトコル) 」が搭載されています。SE-VPN プロトコルは任意のパケットを HTTPS (HTTP over SSL) パケットにカプセル化して送受信します。これにより、既存のファイアウォールがネットワーク管理者によって通常の VPN プロトコルを通過しないように設定されている場合であっても、SE-VPN プロトコルは大抵の場合は通過します。SE-VPN プロトコルは TLS 1.0 (RFC 5246) および HTTPS (RFC 2818) に準拠するように実装されていますが、一部非準拠の動作を行う場合もあります。もしあなたがネットワーク管理者であり、ファイアウォールで SE-VPN プロトコルの通信を遮断したいと希望される場合は、ファイアウォールにホワイトリストルールを適用することにより、境界上を流れるすべての無許可の TCP および UDP パケットを遮断し、一部許可した Web サイトやサーバー等との間の通信のみ許可するように設定することでその希望を実現できます。 1.2. NAT トラバーサル機能について 従来の VPN システムの場合、NAT やファイアウォールの内側に VPN サーバーを設置する場合はネットワーク管理者に依頼して NAT やファイアウォールにおいて「ポート開放」や「ポート転送」といった設定を行ってもらう必要があります。しかし、ネットワーク管理者にそのような手間をかけずに社内の自分のコンピュータに VPN サーバーをインストールし社外から接続したいという需要に応えるため、SoftEther VPN には強力な「NAT トラバーサル機能」が搭載されています。NAT トラバーサル機能はデフォルトで有効になっています。NAT トラバーサル機能が有効に設定されている SoftEther VPN Server は、たとえ NAT やファイアウォールの内側であっても、特別な設定なしにインターネット側から VPN 接続を受付けることができます。NAT トラバーサル機能をサーバー側で無効にするには、SoftEther VPN Server の設定ファイルの「DisableNatTraversal」項目の値を「true」に変更してください。クライアント側で無効にするには、接続先の VPN サーバーのホスト名の後に「/tcp」というサフィックスを追加してください。 1.3. ダイナミック DNS 機能について 従来の VPN システムの場合、VPN サーバーには固定のグローバル IP アドレスを割当てる必要がありました。ソフトイーサ社はグローバル IP アドレスの枯渇に配慮するため、SoftEther VPN Server に「ダイナミック DNS 機能」を搭載しました。ダイナミック DNS 機能はデフォルトで有効になっています。ダイナミック DNS 機能は現在の SoftEther VPN Server が動作しているコンピュータのグローバル IP アドレスを、ソフトイーサ社が運用するダイナミック DNS サーバーに対して定期的に通知します。この際に、「abc.softether.net」 ( "abc" 部分は利用者が変更可能な任意のユニークな ID) という全世界から利用可能なホスト名 (FQDN) が割当てられます。ホスト名を知らされた VPN の利用者は、ホスト名を指定するだけで、現在の IP アドレスを知らなくてもいつでも VPN サーバーにアクセスできます。IP アドレスが変化した場合は、ダイナミック DNS サービスのホスト名に対応する IP アドレスが自動的に変化します。これにより、固定グローバル IP アドレスが不要になり、毎月発生する高額な ISP への通信コストを削減でき、法人利用であってもコンシューマ向けの安価な可変 IP アドレス接続が利用できるようになります。ダイナミック DNS 機能を無効にするには、SoftEther VPN Server の設定ファイルの「DDnsClient」ディレクティブ内の「Disabled」項目の値を「true」に変更してください。中華人民共和国でご利用される場合の注意: DNS サフィックスは中華人民共和国内で利用する場合は「sedns.cn」というドメイン名に置換されます。sedns.cn ドメインは中国企業 (北京大游索易有限公司) が運営・管理しているサービスです。 1.4. VPN over ICMP 機能および VPN over DNS 機能について SoftEther VPN Client / Bridge が SoftEther VPN Server との間で VPN 通信を行おうとする場合、TCP と UDP の両方のプロトコルが通信できない場合のために、VPN を「ICMP」 (いわゆる Ping) および「DNS」パケットにカプセル化して通信する機能が実装されています。この機能により、ネットワーク経路上のルータやファイアウォールなどが TCP や UDP の通信を遮断してしまう場合でも、ICMP または DNS の通信が可能であれば VPN 接続を行うことができます。VPN over ICMP 機能および VPN over DNS 機能は、ICMP や DNS の規格にできる限り準拠するように設計されていますが、一部非準拠の動作を行う場合もあります。一部の設計不良のルータは大量の ICMP や DNS パケットが通過するとメモリオーバーフローなどを発生し、フリーズしたり再起動したりする場合があります。これは他の利用者にも悪影響を与える可能性があります。このようなリスクを避けるために VPN over ICMP 機能および VPN over DNS 機能を無効にするには、VPN 接続元の側で接続先のホスト名文字列の後に「/tcp」というサフィックスを追加してください。 1.5. VPN Azure クラウドサービスについて SoftEther VPN Server が NAT やファイアウォールの内側にあり、何らかの理由で NAT トラバーサル機能、ダイナミック DNS 機能および VPN over ICMP/DNS 機能を利用できない場合は、VPN Azure クラウドサービスを利用できます。ソフトイーサ社はインターネット上で VPN Azure クラウドを運用しています。VPN Server は VPN Azure クラウドに一度接続すれば、それ以降は「abc.vpnazure.net」 (abc はユニークなホスト名) というホスト名が割当てられます。このホスト名は実際にはソフトイーサが運営するクラウドサーバーのグローバル IP アドレスに関連付けられています。VPN クライアントはこの VPN Azure ホストに対して接続することにより、VPN Azure は通信を折り返し中継して VPN サーバーに届けます。VPN Azure 機能はデフォルトで無効になっていますが、VPN Server 管理ツールで簡単に有効化することができます。 1.6. UDP 高速化機能について SoftEther VPN には UDP 高速化機能が搭載されています。VPN を構築する 2 拠点間で UDP チャネルの構築が可能であることが検出された場合は、自動的に UDP による通信を行います。これにより VPN のスループットが向上します。UDP チャネルの構築の際には、直接的な UDP パケットの伝送が可能な場合はそれを使いますが、途中に NAT やファイアウォールがあることが検出された場合は代わりに「UDP ホールパンチング」を使用します。UDP ホールパンチングが使用される場合には、インターネット上のソフトイーサ社が運営する UDP ホールパンチングサーバーが利用されます。UDP 高速化機能は、VPN 接続元の側の設定でいつでも無効にすることができます。 2. VPN ソフトウェアについて 2.1. SoftEther VPN Client SoftEther VPN Client を Windows で使用する場合は、仮想 LAN カードをコンピュータにインストールする必要があります。仮想 LAN カードは Windows 上で動作するカーネルモードドライバとして実装されています。当該ドライバは VeriSign 社の発行する証明書によってデジタル署名されており、Symantec 社による副署名もされています。ドライバのインストール時には本当にドライバをインストールするかどうかの確認メッセージが表示される場合があります。SoftEther VPN Client は可能な場合は自動的に当該確認メッセージに応答します。SoftEther VPN Client はインストール時に通信を最適化するため Windows の MMCSS (Multimedia Class Scheduler Service) の設定を最適化します。MMCSS の設定の最適化は後から元に戻すことができます。 2.2. SoftEther VPN Server / Bridge SoftEther VPN Server / Bridge を Windows で使用する場合で「ローカルブリッジ機能」を使用する場合は、低レイヤ Ethernet パケット送受信ドライバをコンピュータにインストールする必要があります。当該ドライバは VeriSign 社の発行する証明書によってデジタル署名されており、Symantec 社による副署名もされています。SoftEther VPN Server / Bridge はローカルブリッジのために物理的な LAN カードの TCP/IP オフローディング機能を無効にする場合があります。Windows Vista / 2008 以降のバージョンでは、VPN Server が IPsec 機能を提供するために Windows Filter Platform (WFP) に適合したパケットフィルタドライバをカーネルモードに挿入します。このパケットフィルタドライバは IPsec 機能を有効にした場合のみロードされます。SoftEther VPN Server の IPsec 機能を有効にすると、Windows 標準の IPsec 機能は利用できなくなります。ただし、SoftEther VPN Server の IPsec 機能を無効にすると、この現象は元に戻ります。SoftEther VPN Server / Bridge はローカルブリッジ機能を使用するために OS の TCP/IP オフローディング機能を無効に設定します。 2.3. ユーザーモードでのインストール SoftEther VPN Server および SoftEther VPN Bridge は Windows にユーザーモードでインストールすることができます。つまり、社内 PC などで Windows のシステム管理者権限を持っていない一般ユーザーであってもインストールを行えます。ユーザーモードでインストールを行うと一部の機能が制限されますが、大部分の機能は正常に動作します。これにより、たとえば社員が社内 PC に一般ユーザーとして VPN Server をインストールし、自宅から社内 LAN にアクセスすることもできます。技術的にはシステム管理者特権は一切不要ですが、だからといって企業の規則に反して勝手に VPN サーバーを構築することは好ましくない場合もあります。あなたが企業に所属する社員の場合で、企業の規則で無断のソフトウェアのインストールや外部との通信が禁止されている場合は、事前に企業の経営者またはネットワーク管理者から明示的な同意を得てからユーザーモードでのインストール作業を行ってください。ユーザーモードで VPN Server / VPN Bridge が動作している間は、Windows のタスクトレイにアイコンが表示されます。このアイコンが邪魔であると感じる場合は、ユーザーによる操作により非表示にすることもできます。ただし、この機能を悪用して他人のコンピュータに VPN Server を勝手にインストールし、スパイウェアとして利用してはなりません。そのような行為は法律に違反することになります。 2.4. キープアライブ通信 SoftEther VPN Server および SoftEther VPN Bridge ではデフォルトでインターネット回線を活性化したままにしておくためのキープアライブ通信機能が有効にされています。この機能により、インターネットに対して定期的にランダムな内容の UDP パケットを送信します。この機能は、モバイル回線やダイヤルアップ回線などが自動的に切断されてしまうことを防止するために有益です。キープアライブ通信機能はいつでも無効にできます。 2.5. アンインストール SoftEther VPN ソフトウェアをアンインストールする場合は、プログラムファイルはすべて削除されます。ただし、プログラムファイル以外のファイル (たとえばプログラムの動作によって作成されたファイルやデータ) は削除されません。また、技術的な理由により、アンインストーラ本体の EXE ファイルおよびリソースファイルも削除されずに残る場合があります。これらのファイルが残留することはコンピュータの利用上悪影響はありませんが、お好みに応じて手動で削除することもできます。また、カーネルモードドライバも削除されない場合がありますが、次回 Windows 起動時から主要コードはメモリにロードされず無効になります。カーネルモードドライバも Windows の「sc」コマンドを用いてお好みに応じて手動で削除することができます。 2.6. セキュリティ SoftEther VPN Server / Bridge をインストールした後は、速やかに管理者パスワードを設定してください。管理者パスワードが空白のまま放置すると、第三者が勝手に管理者モードで SoftEther VPN Server / Bridge に接続して管理者パスワードを設定したり、設定を変更したりすることができます。この注意事項は、Linux 版の SoftEther VPN Client にも適用されます。 2.7. アップデート通知機能 Windows 版の SoftEther VPN ソフトウェアには、アップデート通知機能が搭載されています。ソフトイーサ社の SoftEther Update サーバーに対して定期的に HTTP で通信を行い、最新版のソフトウェアがリリースされていないかどうかを確認します。もし最新版がリリースされている場合は、その旨を画面上に表示します。この目的を達成するために、現在のソフトウェアのバージョン、言語、固有識別子、IP アドレスおよび接続先 VPN サーバーのアドレスが SoftEther Update サーバーに対して送信されます。個人情報は一切送信されません。アップデート通知機能はデフォルトで有効になっていますが、設定画面からオフにすることもできます。オン / オフの設定は、VPN サーバー管理マネージャの場合は接続先の VPN サーバーごとに保存されます。 2.8. 仮想 NAT 機能 SoftEther VPN Server / VPN Bridge の仮想 HUB には「仮想 NAT 機能」が搭載されています。仮想 NAT 機能は、1 個の物理的な IP アドレスを、複数個の仮想的なプライベート IP アドレスを割当てられた VPN Client で共有するための機能です。仮想 NAT 機能の動作モードにはユーザーモードとカーネルモードの 2 種類があります。ユーザーモードで動作する場合、NAT の外側の物理的な IP アドレスは、VPN Server を動作させるコンピュータの OS のインターフェイスが持つ IP アドレスを共有します。これと異なり、カーネルモードで動作する場合は、VPN Server はコンピュータに装着されている物理的な Ethernet ネットワークアダプタをスキャンし、利用可能な IP アドレスを 1 個、物理的な Ethernet セグメント上の DHCP サーバーから取得しようと試みます。IP アドレスの取得に成功した場合は、その IP アドレスが仮想 NAT によって使用されます。この場合、物理的な DHCP サーバー上の IP プールに DHCP クライアントエントリが作成されます。物理的な Ethernet セグメント上のデフォルトゲートウェイおよび DNS サーバーが仮想 NAT を経由したインターネットとの間の通信のために使用されます。カーネルモードで動作する場合は、仮想 NAT は物理的な Ethernet セグメント上で 1 個の仮想 MAC アドレスを持ちます。カーネルモード NAT の動作が可能かどうかを判断するため、VPN Server は定期的にインターネットへの接続性をチェックします。接続性のチェックのためには、www.yahoo.com または www.baidu.com というホスト名への DNS クエリの応答の検査と、応答された IPv4 アドレス宛の TCP ポート 80 への接続の検査が実施されます。 2.9. カーネルモードコンポーネントの自動セットアップ SoftEther VPN ソフトウェアが Windows にカーネルモードコンポーネントをインストールする必要があることが検出された場合、インストールを行うか否かを確認するメッセージが Windows によって表示される場合があります。この場合、SoftEther VPN ソフトウェアは自動的に無人セットアップモードに移行し、Windows に対してインストールを行う旨を応答します。これは、リモートから SoftEther VPN ソフトウェアを管理する際にリモート管理通信が切断され、デッドロックが発生してしまうことを防止するための措置です。 2.10. Windows Firewall への登録 SoftEther VPN ソフトウェアは、Windows Firewall に対して SoftEther VPN ソフトウェアを安全なプログラムとして自動的に登録します。この登録は、アンインストール後も残存する場合があります。登録を解除したい場合は、Windows のコントロールパネルを用いて手動で設定してください。 3. インターネットサービスについて 3.1. ソフトイーサ社が提供するインターネットサービスの内容 ソフトイーサ社は、「ダイナミック DNS」、「NAT トラバーサル」および「VPN Azure」サービスを無償で提供します。これらのサービスには SoftEther VPN のユーザーはソフトウェア内の実装を通じてインターネット経由でアクセスすることができます。これらのサービスは今後公開される予定のオープンソース版「SoftEther VPN」からも利用可能になる予定です。 3.2. 送信される情報とプライバシーの保護 SoftEther VPN ソフトウェアは、上記のサービスを利用するために、コンピュータの IP アドレス、ホスト名、VPN ソフトウェアのバージョン情報をソフトイーサ社の管理するクラウドサービス上に送信します。これらの情報は上記サービスを実現するために最低限必要なものです。一切の個人情報は送信されません。ソフトイーサ社はクラウドサービス上に蓄積された上記の IP アドレス等の情報を最低 90 日間ログに記録する場合があります。これはサービスの利用に技術的な問題が発生した場合の原因究明のために利用されます。ソフトイーサ社は当該ログ情報を日本国の裁判所または捜査機関による命令に従うためにこれらの機関の公務員 (日本国の公務員は日本国の法律により守秘義務を負わされています) に開示する場合があります。また、IP アドレスなどの情報は統計処理され、その統計結果は個別の具体的な IP アドレスが判別できないようにされた上で、インターネット上で研究成果として公表される場合があります。 3.3. VPN Azure を経由した通信データ お客様が VPN Azure クラウドサービスを経由して VPN 通信を行う場合、3.2 の規定にかかわらず、お客様の実際の通信ペイロードが VPN Azure クラウドサービスを構成するサーバー上のメモリにごく短い時間蓄積される場合があります。これは VPN Azure サービスを提供するために当然に必要なことでありますが、通信内容はディスクなどの固定領域に記録されることはありません。ただし、日本国の「犯罪捜査のための通信傍受に関する法律 (平成 11 年 8 月 18 日法律第 137 号) 」が定める裁判官の令状を携行した捜査官からの要請があった場合は当該通信が日本国政府の公務員 (日本国の公務員は日本国の法律により守秘義務を負わされています) によって傍受され記録される可能性があります。この規定は、VPN Azure サービスのサーバーが物理的に日本国に存在している場合にのみ適用されます。 3.4. 電気通信事業法の適用 ソフトイーサ社は上記のサービスを日本国内で運用する場合において電気通信事業法の規定を受けるべき場合については電気通信事業法の規定に従い、総務大臣に届出または申請を行っております。 3.5. 無償で学術実験目的のサービス ソフトイーサは「ダイナミック DNS」、「NAT トラバーサル」および「VPN Azure」を学術実験目的で研究開発し運営しています。そのため、これらのサービスはすべて無料でご利用いただけます。これらのサービスは「SoftEther VPN ソフトウェア製品」の一部ではなく、付随するものでもありません。これらのサービスは一切の保証がない状態で提供されるものです。実験の休止、中止や実験中の技術的問題の発生によってサービスが中断する場合があります。その場合は、ユーザーはサービスを利用できなくなります。ユーザーはこのようなリスクがあること、およびそのリスクをユーザー自身が負担することを承諾いただいた上でこれらのサービスをご利用ください。ソフトイーサ社はユーザーがこれらのサービスを利用した結果、または利用できなかった結果について一切の責任を負いません。仮にお客様が SoftEther VPN ソフトウェアの商用製品を購入され、SoftEther VPN ソフトウェアのライセンス料金をお客様がすでにお支払いいただいている場合であっても、当該料金にはこれらのサービスの対価は含まれていません。これらのサービスが中断したり利用不能になったりした場合であっても、SoftEther VPN ソフトウェアのライセンス料金は一切返金されず、その他の損害賠償も提供されません。 3.6. DNS プロキシ いくつかの地域では、インターネットを利用する際、DNS クエリによる IP アドレスの取得が回線の通信不良によりしばしば誤った値を返すようです。SoftEther VPN Server, Client または Bridge を使用している場合で、本来の DNS サーバーへのアクセスができない、またはネットワーク上の途中の経路の DNS サーバーが動作不良を起こしている可能性がある場合が検出されたときは、DNS クエリはソフトイーサが運営する DNS プロキシサーバーに転送されます。DNS プロキシサーバーは本来の DNS サーバーに対してアクセスを行い、正確な IP アドレスを取得してその IP アドレスを呼出し元に返信します。 4. その他の注意事項 4.1. ネットワーク管理者による承諾の必要性 SoftEther VPN はネットワーク管理者による特別な設定を必要とせずに動作するようにパワフルな機能が実装されています。たとえば、ネットワーク管理者にファイアウォールの設定の変更を依頼しなくても VPN 通信を行うことができます。SoftEther VPN のこうした特徴は、あくまでも技術的にネットワーク管理者による手間やコスト削減するため、またはファイアウォール設定の変更に伴う設定ミスなどの危険を防止するためのものです。企業に所属する社員は、SoftEther VPN を企業の管理するネットワーク内のコンピュータにインストールまたは使用する場合にあたっては、必ず事前にネットワーク管理者の許諾を得なければなりません。もしネットワーク管理者がそのような承諾を提供しない場合は、代わりにネットワーク管理者よりもより上位の権限を持った経営者から許諾を得ることを検討してください。これらの正当な許諾がない状態で SoftEther VPN を使用することは、お客様にとって不利益な結果となる場合があります。ソフトイーサ社は SoftEther VPN の使用によってお客様に生じた一切の責任を負いません。 4.2. 各地域における法律の遵守 VPN 通信のような暗号化通信が法律で禁止されている国・地域では、SoftEther VPN を使用する場合は必ず暗号化機能をオフにして使用してください。この他、一部の国・地域では特定の方法での SoftEther VPN の利用が法律によって禁止されている場合があります。ソフトイーサ社は日本国に所在する法人ですので、他の国・地域に制定されている法令については一切関知しておりません。たとえば、SoftEther VPN の一部の機能が特定の国・地域でのみ有効な特許権を侵害している可能性もあります。ソフトイーサ社はその国・地域に関して特段の関心はありません。したがって、SoftEther VPN の機能がお客様の居住している国・地域において法的に利用可能であるかどうかは、お客様ご自身によって事前に十分検証の上ご利用ください。そもそも世界には 200 カ国近くの国が存在しており、それぞれの国における法律は互いに異なります。すべての国の法律を調査した上でそれらすべてに適合することを保証したソフトウェアをリリースすることは事実上不可能です。ソフトイーサ社は日本国の法律のみを調査し、日本国の法律下でおいて適法に利用可能なソフトウェアを提供することのみを目的に研究開発を行っております。万一お客様が SoftEther VPN の機能をお客様の居住している国・地域の領域内で利用されたことによって国家権力により法的なペナルティを科せられるなどの損害が発生した場合であっても、ソフトイーサ社は一切責任を負いません。 5. VPN Gate 学術実験プロジェクト (この章は VPN Gate 学術実験プロジェクトに関する機能拡張プラグインが含まれているバージョンの SoftEther VPN にのみ適用されます。商用版の SoftEther VPN ソフトウェアには VPN Gate 機能拡張プラグインは含まれていませんので、この章の内容は関係ありません。) 5.1. VPN Gate 学術実験プロジェクトについて VPN Gate 学術実験プロジェクトは、日本に所在する筑波大学大学院における学術的な研究を目的として実施されているオンラインサービスです。本研究は、グローバルな分散型公開 VPN 中継サーバーに関する知見を得ることを目的としています。詳しくは http://www.vpngate.net/ をご参照ください。 5.2. VPN Gate サービスについて SoftEther VPN Server および SoftEther VPN Client には「VPN Gate サービス」と呼ばれるプログラムが同梱されている場合があります。ただし、VPN Gate サービスはデフォルトで無効となっています。 VPN Gate サービスは、SoftEther VPN Server または SoftEther VPN Client をインストールするコンピュータの所有者が、自らの意思に基づき、VPN Gate 学術実験に参加される場合にのみ有効にしてください。VPN Gate サービスを有効にすると、コンピュータは VPN Gate 学術実験サービスにおけるグローバルな分散型公開 VPN 中継サーバーとして動作を開始します。そして、コンピュータの IP アドレスやホスト名などの情報が筑波大学内で運用されている VPN Gate 学術実験サービスのディレクトリに登録され、公衆の閲覧に供されます。これにより、世界中にある VPN Gate Client と呼ばれるクライアントソフトウェアは当該 VPN Gate サービスが稼働している VPN サーバーコンピュータに対して VPN 接続を行うことができるようになります。VPN 接続が継続している期間中は、VPN Gate Client のコンピュータはすべての通信を VPN Gate サービスを経由してインターネットとの間で行うことができます。その際は、VPN Gate サービスを動作させているコンピュータのインターネット上におけるグローバル IP アドレスが、当該通信の発信元の IP アドレスとして使用されます。 VPN Gate サービスは、VPN Gate 学術実験サービスのディレクトリサーバーに対して、5.5 の運営者情報、ログ設定、起動時間、OS の種類、プロトコルの種類、ポート番号、回線品質情報、統計情報、VPN Gate クライアントからの接続ログ (日時、IP アドレス、バージョン番号、ID) およびソフトウェアのバージョン情報を送信します。これらの情報はディレクトリ上で公衆の閲覧に供されます。また、VPN Gate サービスは 5.9 で説明されている機能のエンコードのためのキーを VPN Gate 学術実験サービスのディレクトリサーバーから受信します。 5.3. VPN Gate サービスの動作の詳細 デフォルトで無効化されている VPN Gate サービスをユーザーの操作により有効にすると、SoftEther VPN Server 内に "VPNGATE" という名称の仮想 HUB が作成されます。SoftEter VPN Client 上において VPN Gate サービスを有効にしようとすると、まず SoftEther VPN Client 内の同一プロセス上で簡易的に動作する SoftEther VPN Server と同等のプログラムが起動し、その中で "VPNGATE" という名称の仮想 HUB が作成されます。当該仮想 HUB には "VPN" という名前のユーザーが作成され、匿名でインターネット上の誰でもが当該仮想 HUB に VPN 接続を行うことができるようになります。いったん "VPNGATE" 仮想 HUB に接続した VPN クライアントコンピュータが開始したすべての通信は "VPNGATE" 仮想 HUB を通過し、SoftEther VPN Server (または SoftEther VPN Client) が動作しているコンピュータの物理的なネットワークインターフェイスを経由してインターネットに対して伝送されます。そのため、インターネット上の宛先ホストは、あたかも当該通信が SoftEther VPN Server が動作しているコンピュータから発信されたものであるかのように識別することとなります。ただし、宛先が 192.168.0.0/255.255.0.0, 172.16.0.0/255.240.0.0 および 10.0.0.0/255.0.0.0 宛のパケットはプライベートネットワーク (たとえば社内 LAN など) で使用されているものと見なされ、"VPNGATE" 仮想 HUB を経由して伝送されることはありません。VPN Gate サービスを社内 LAN などにあるコンピュータで動作させても、VPN Gate のユーザーに対して社内 LAN 上の他のコンピュータにアクセスすることを許すことにはならないため安全です。VPN Gate サービスはまた、VPN Gate ディレクトリサーバーへのアクセスの中継も実施します。 VPN Gate サービスは、ファイアウォールや NAT などと共に良好に動作することができるようにするため、1.2 で解説されている NAT トラバーサル機能を用いて UDP ポートを開きます。また、いくつかの TCP ポートを Listen 状態とし、いくつかの TCP ポートおよび UDP ポートについて Universal Plug and Play (UPnP) プロトコルを用いて定期的にローカルのルータに対してポート開放を要求します。ルータの挙動によっては、ポートは VPN Gate サービスの停止後も開放され続ける場合がありますので、UPnP ポートを閉じたい場合は手動で閉じてください。 VPN Gate サービスはまた、www.vpngate.net のミラーサイト機能も提供します。これは、VPN Gate Web サイトにアクセスしようとするインターネット上のユーザーに対して www.vpngate.net のサイトのコピーのコンテンツを、簡易的な HTTP サーバーを経由してホストする仕組みです。簡易的な HTTP サーバー機能は VPN Gate サービスのプログラムの一部として稼働し、自分自身を www.vpngate.net のミラーサイト一覧ページに自動的に登録します。ただし、www.vpngate.net 以外のサーバーに対する中継通信はサポートしません。 5.4. VPN Gate サービスにおけるインターネットとの間の通信 VPN Gate サービスは「2.8. 仮想 NAT 機能」で説明されている機能を用いることにより、ユーザーの通信をインターネットに対してルーティングします。また、VPN Gate サービスはインターネット回線の品質を調査するため、一定時間ごとに筑波大学に設置されている Ping サーバーおよび Google 社に設置されている Public DNS Server (IP アドレス: 8.8.8.8) に対して Ping パケットを送信します。また、筑波大学に設置されている通信速度測定サーバーに対して TCP でコネクションを確立し、数十秒程度の通信を行います。これらの品質データは測定後に自動的に VPN Gate 学術実験プロジェクトの中央サーバーに伝送され保存されます。その結果は公衆の閲覧に供されます。これらの定期的な通信はネットワークに影響をできるだけ与えないようにするため最小量に調整されていますが、回線を圧迫する場合もあります。 5.5. VPN Gate サービスの運営者情報 VPN Gate 学術実験プロジェクトに参加したコンピュータ上で動作する VPN Gate サービスは、インターネット上で公衆に対してサービスを提供する分散ノードの一員となります。したがって、当該コンピュータの管理者はサーバーの運営者情報を適切に申告しなければなりません。運営者情報には、運営者氏名および不正利用等があった場合の連絡先メールアドレスを含みます。運営者情報は VPN Gate サービスの設定画面からいつでも入力することができます。入力された運営者情報は自動的に VPN Gate 学術実験プロジェクトの中央サーバーに伝送され保存されます。その結果は公衆の閲覧に供されますので、入力の際には十分注意してください。なお、入力がない場合は運営者情報としてデフォルトでコンピュータのホスト名の後に "'s owner" という文字列を付加した文字が使用されます。 5.6. VPN Gate サービスを運営する場合の法令の遵守 ユーザーが VPN Gate サービスを運営する場合、国・地域によってはそのようなサービスを運営することについて予め行政機関による許可を得るか、または行政機関に事前に届け出る必要がある規定がある場合があります。そのような規定が存在する場合は、VPN Gate サービスを有効にする前に必ず法令によって要求されている手続きを履行してください。本ソフトウェアの開発者または VPN Gate 学術実験プロジェクトの実施者は、VPN Gate サービスを稼働させたユーザーが法令において規定されている義務を履行しなかったことによって生じた法的責任または損害について一切責任を負いませんのでご注意ください。 5.7. 通信の秘密の保護 多くの国の法令において、VPN Gate サービスの運営者は、VPN Gate サービスの内部を通過した第三者の通信についてその秘密を保護することが要求されることとなりますので、ご注意ください。 5.8. パケットログ VPN Gate サービスを経由して伝送される主要な通信パケットの重要なヘッダ部分を記録する「パケットログ」機能が VPN Gate サービスのプログラムに実装されています。パケットログは、VPN Gate サービスを経由して第三者が違法な通信を行った場合に、その事実を記録するための機能です。パケットログと VPN 接続の受付ログを参照することにより、当該通信を行った者の原 IP アドレスを特定することが可能です。このような調査などの正当な目的のためだけにパケットログを使用してください。パケットログを正当な目的以外のために閲覧したり、内容を漏洩したりすることは、5.7 の規定に反することとなります。 5.9. パケットログの自動アーカイブ機能 VPN Gate 学術実験プロジェクトは日本国憲法および法律に従って運営されています。日本国憲法や法令は、通信の秘密について非常に厳しい保護を要求しています。日本国におけるルールに従うために、VPN Gate サービスのプログラムには「自動ログファイルエンコード」機能が搭載されており、デフォルトで有効になっています。 デフォルトでは、VPN Gate サービスの現在の設定は、2 週間以上が経過したパケットログファイルを自動的にエンコードしてアーカイブするようになっています。VPN Gate サービスを経由して通信を行ったユーザーの通信の秘密を保護するため、一旦エンコードされたファイルは、VPN Gate サービスが動作しているコンピュータの管理者であっても閲覧することはできません。これにより VPN Gate サービスを利用するエンドユーザーのプライバシーが保たれます。 パケットログファイルが生成後 2 週間以上経過した後でも自動的にエンコードされないようにするためには、VPN Gate サービスの設定を変更してください。この場合は、パケットログファイルは恒久的にディスク上に平文で残ることになります。したがって、ユーザーの通信の秘密を侵害しないように十分ご注意ください。 VPN Gate サービスを経由してエンドユーザーが違法行為を行った際など、エンコードされたパケットログファイルをデコードし通信内容を復元する必要が生じた場合は、筑波大学大学院 VPN Gate 学術実験プロジェクトの運営者に連絡してください。連絡方法は http://www.vpngate.net/ に記載されています。プロジェクトの運営者は、既存の法令に従い、裁判所などの司法機関による要請およびこれに準じる要請があった場合にデコードに応じます。 5.10. 日本国の領域内で VPN Gate サービスを運営する場合の注意点 ユーザーが日本国の領域内で VPN Gate サービスを運営する場合において、その行為が電気通信役務を他人の需要に応ずるために提供する事業に該当する場合は、当該 VPN Gate サービスの提供行為は電気通信事業法 (昭和 59 年 12 月 25 日法律第 86 号) における「電気通信事業」に該当する可能性があります。ただし、そのような場合であっても、「電気通信事業参入マニュアル[追補版]」(平成 17 年 8 月 18 日発行 総務省電気通信事業部データ通信課) によれば、収益が生じない場合は電気通信事業者には該当しないこととなります。従って、収益目的において稼働させる場合を除き、VPN Gate サービスを稼働させても登録・届出が必要な「電気通信事業者」には該当しません。たとえ電気通信事業者に該当しない場合においても、電気通信事業法で規定されている「秘密の保護」の義務は生じることとなります。これらのことから、日本国の領域内で VPN Gate サービスを運営する場合においては、VPN Gate サービスの運営者は自己の管理する VPN Gate サービスを経由して行われた第三者の通信内容の秘密を漏洩してはなりません。 この節における注意事項は、日本国の領域外においては適用されません。 5.11. VPN Gate クライアント SoftEther VPN Client に VPN Gate クライアントプラグインが含まれている場合は、ユーザーは SoftEther VPN Client を使用してインターネット上で稼働している VPN Gate サービスの一覧を取得し、いずれかの VPN Gate サービスのサーバーを指定してそのサーバーに接続することができます。 VPN Gate クライアントは起動中は常時、VPN Gate サービスのサーバーの一覧を取得するための通信をインターネット上のホストとの間で一定時間ごとに行います。そのため、通信量または通信時間に応じて課金が発生するようなインターネット接続回線を利用中の場合は十分ご注意ください。 VPN Gate クライアントを起動する際には、VPN Gate サービスを有効にするかどうかを選択する画面が表示される場合があります。VPN Gate サービスについては上記の説明を参照してください。 5.12. VPN Gate 学術実験への参加または使用前のご注意 VPN Gate 学術実験サービスは、日本国に所在する筑波大学大学院における研究プロジェクトとして運営されているサービスです。本サービスは日本国の法令にのみ準拠して運用されており、日本国以外の国・地域の法令については一切関知しておりません。 そもそも世界には 200 カ国近くの国が存在しており、それぞれの国における法律は互いに異なります。すべての国の法律を調査した上でそれらすべてに適合することを保証したソフトウェアを開発することは事実上不可能です。万一ユーザーが本サービスを特定の国・地域の領域内で利用したことによって公務員により法的なペナルティを科せられるなどの損害が発生した場合であっても、プロジェクト実施者は一切責任を負いません。 本ソフトウェアまたはサービスを使用する際には、ユーザーが適用されるすべての法令をユーザーの責任により遵守してください。本ソフトウェアまたはサービスを日本国内・国外を問わず使用された場合に発生するすべての損害と責任は、ユーザーに帰責します。本学術実験の運営者およびソフトウェアの供給者は、一切責任を負いません。 これらの注意事項に同意いただけない場合は、VPN Gate 学術実験サービスに関連する機能を使用しないでください。 VPN Gate は筑波大学大学院における学術目的の研究プロジェクトです。VPN Gate ソフトウェアはフリーウェアである SoftEther VPN およびオープンソースである UT-VPN を拡張するプラグインの形で開発されていますが、これは本研究プロジェクトにおいて開発されたものであり、ソフトイーサ株式会社によって開発されたものではありません。本研究はソフトイーサ株式会社が主宰、推進または保証するものではありません。 VPN 通信が禁止されている国・地域では VPN Gate を使用しないでください。 5.13. VPN Gate Client に組み込まれている検閲用ファイアウォールの回避のための P2P 中継機能について 2015 年 1 月以降にリリースされた VPN Gate Client には P2P 中継機能が搭載されています。この P2P 中継機能は検閲用ファイアウォールの回避の強化を目的としています。あなたの VPN Gate Client で P2P 中継機能が有効となっている場合は、P2P 中継機能は、専らあなたと同じ地域に居住する他の VPN Gate のユーザーからの VPN 接続を受け付け、当該 VPN 通信を、検閲用ファイアウォールの外側にある、自由な (検閲のない) インターネット接続環境にある他人が遠隔地に設置した VPN Gate Server に対して中継します。この中継機能においては、あなたの VPN Gate Client の P2P 中継機能に接続した VPN Gate ユーザーの VPN Gate 使用中における NAT の出口 IP アドレスはあなたのコンピュータに置き換わることはありません。なぜならば、当該中継機能は VPN トンネルを反射状に中継するものであり、VPN トンネルの最終的な終端点は当該他人が設置した VPN Gate Server となるためです。しかしながら、当該他人が設置した VPN Gate Server における VPN トンネルの接続元 IP アドレスとしては、あなたのコンピュータの IP アドレスが記録されます。また、あなたのコンピュータの P2P 中継機能を経由して行われたパケットは、5.8 に準じてあなたのコンピュータに記録されます。P2P 中継機能を有する VPN Gate Client をインストールした後に当該 P2P 中継機能が動作する状態となった場合には、5.2, 5.3, 5.4, 5.5, 5.6, 5.7, 5.8, 5.9, 5.10, 5.11 および 5.12 において VPN Gate サービス (VPN サーバー機能) を明示的に有効にした場合と同じ注意事項が適用されます。P2P 中継機能が有効な場合、あなたのコンピュータの IP アドレスおよび 5.5 で述べられているデフォルトの運営者名は、VPN Gate Project が配布する VPN Gate のサーバーリストに自動的に追加されます。5.5 で述べられている情報は、"vpn_gate_relay.config" ファイルを編集することで変更することができます。設定を変更する際には、最初に VPN Client サービスを停止する必要があります。VPN Gate Client は、あなたのコンピュータの P2P 中継機能を、あなたのコンピュータが検閲用ファイアウォールが存在する地域に存在している可能性を検出した場合に自動的に有効にします。もし P2P 中継機能を無効にしたい場合は、VPN Client の設定ファイルである "vpn_client.config" ファイル内の "DisableRelayServer" フラグを "true" に設定しなければなりません。設定を変更する際には、最初に VPN Client サービスを停止する必要があります。P2P 中継機能は、法令によって検閲用ファイアウォールの回避のための P2P 中継機能の提供が禁止されている国または地域であっても、自動的に有効になる可能性があります。そのため、法令によって検閲用ファイアウォールの回避のための P2P 中継機能の提供が禁止されている国または地域のユーザーは手動で "DisableRelayServer" フラグを変更し、P2P 中継機能を自己の責任で直ちに無効にしなければなりません。