https://joho-todai.com/
赤坂タロウの日記
Jul 4, 2026
Microsoft Authenticator、改造端末を検知して仕事用アカウントを強制削除へ
『Microsoft Authenticatorが、 脱獄やルート化された端末で職場・ 学校アカウントの使用を段階的に遮断する。 対象はMicrosoft Entra ID資格情報のみで、 個人アカウントやサードパーティの2FAコードは対象外だ。
・・・中略・・・
ただし例外がある。サードパーティのサービスであっても、 Entraアカウント経由のシングルサインオンで接続している場 合は制限の対象になりうる。たとえば、GitHubに「 Microsoftでサインイン」 を使って会社のEntraアカウントでログインしているなら、 そのEntra資格情報がブロックされる可能性がある。
・・・中略・・・
この仕組みの問題点は、何をもって「ルート化された端末」 とするかをMicrosoftの検出ロジックが一方的に決めるこ とだ。』
7-Zipがv26.02に、不具合と脆弱性を修正
https://forest.watch.impress.
『オープンソースの解凍・圧縮ソフト「7-Zip」 の最新版v26.02が、6月25日に正式公開された。
・・・中略・・・
前バージョンでもヒープバッファーオーバーフローの脆弱性があと から公表されたことから、 できるだけ早い対応を心がけた方がよいだろう。』
メモ、ホームユースのファイアウォール3選
アンチウイルスメーカーの家庭用ルータが手軽だが、出先での通信保護も必要なため、対象外とした。
既存環境(家庭内デバイスを丸ごとVPN経由のVPSに収容し、出口対策・
◆ おすすめのファイアウォール(UTM/IDS)3選
Linuxでの構築経験があり、VPN( WireGuardやOpenVPN)と組み合わせる前提で、 上記の「Webフィルタリング」「IDS/IPS」 を強力にカバーできるソリューションを3つ厳選しました。
① opnSense(または pfSense)
Linux/BSDベースの本格派オープンソースUTM
「自宅ルータからVPSにVPNを張る」という構成において、 VPS側のOS自体をこれに置き換える( またはKVM等の仮想化上で動かす) 場合のファーストチョイスです。
- 特徴: GUIが非常に洗練されており、
プラグイン形式で機能を拡張できます。 Linuxのiptablesをポチポチ叩く不毛さから解放され ます。 - なぜおすすめか(脅威への対応): 「Zenarmor(
旧Sensei)」という次世代FW(NGFW) プラグインを導入することで、HTTPSデコード(SSL復号) を行わずとも、AIベースでトラフィックの挙動(レイヤー7) を解析し、 フィッシングサイトやマルウェアのC2サーバへの通信をブロック できます。また、IDS/IPS(Suricata) も標準搭載しています。
② CrowdSec + nftables (または UFW) + Pi-hole(構成案)
現代風Linuxエンジニア向け:協調型防御 & DNSフィルタリング
「OSは使い慣れたUbuntuやDebianがいい」 という場合に、既存のLinux FWに現代的なセキュリティレイヤーを肉付けする組み合わせです 。
- 特徴: CrowdSecは「令和版Fail2ban」
とも呼ばれるセキュリティツールです。VPSのログ( SSHやVPNの接続試行)を監視し、 怪しい挙動のIPを自動検知するだけでなく、世界中のCrowd Secユーザーが検知した悪質なIPリスト(インテリジェンス) をリアルタイムに共有され、自動で遮断してくれます。 注、DNSによる防御を強化するきっかけとして、様々なログを解析し、協調分散してDNSBL(DNS Black List)に反映する仕掛け。 注、OPNsenseにCrowdSecプラグインを組み込む方法も ポピュラーかつ公式推奨らしい。 - なぜおすすめか(脅威への対応):
VPS側で待ち受けるVPNポートへの執拗な攻撃( スキャンやDoS)をCrowdSecで自動防御しつつ、 内部からのフィッシング対策としてVPS上に「Pi-hole」 や「AdGuard Home」を立ててDNSフォワーダとします。これにより、危険 なドメインへのアクセスをDNSレベルで実質100% シャットアウトできます。労力に対して最も費用対効果( 防御効果)が高いLinux構成です。
③ Sophos Firewall Home Edition
商用グレードの次世代FWを家庭利用で無償運用
エンタープライズ領域で使われるガチガチの次世代ファイアウォー ル(NGFW)ですが、家庭用(非商用・4コア/6GB RAMまで)であれば無料で全機能が使えます。(※Intel/ AMD系のx86_64アーキテクチャのVPSが必要です)
- 特徴: 企業のセキュリティ部門が使う管理画面そのものです。
アプリケーション制御、Webフィルタリング、IPS、 サンドボックス(一部制限あり) がオールインワンで提供されます。 - なぜおすすめか(脅威への対応): ご指摘の「
HTTPSデコードの難しさ」に対し、Sophosは「 高度なWeb保護(カテゴリベースのURLフィルタリング)」 を標準で持っているため、暗号化された通信であっても、 接続先のドメインやIPの評判(レピュテーション) からフィッシングや不正サイトへのアクセスを強力に防御します。
◆ 結論:どれを選ぶべきか?
- ネットワーク全体の管理をGUIでスマートに一元化したい
opnSense が最もバランスが良く、拡張性(ZenarmorによるL7防御)も高いです。 - Linux(Ubuntu等)のベースは崩さず、
最小限の労力で最大の効果を得たい
CrowdSec + DNSフィルタリング(Pi-hole等) の組み合わせ。現代の「人間系脆弱性」 に対してはDNSブロックが最も手軽で強力です。 - エンタープライズ品質の「脅威インテリジェンス」
を無料で振りかざしたい
Sophos Firewall Home Edition。設定の難易度は高めですが、防御力は群を抜いています。
ご自身のLinuxスキルの高さを活かすのであれば、まずは ②(Ubuntu/Debian + CrowdSec + Pi-hole等によるDNSブロック) あたりからスモールスタートされると、運用負荷も低く、 ご認識の「労力の割に……」 を良い意味で裏切る高い効果を実感できるかと思います。
← ← ← 以上 Gemeini, ... 以下 Copilot による → → →
VPS上ファイアウォールのお薦め3選と、脅威認識の検証
まずご認識の妥当性を最新の脅威データで検証し、 そのうえでVPSに載せる前提でのお薦めを3つ、 目的別にご提示します。
1. ご認識の妥当性判断
- 「NGFW以前の防御法(L3/L4のポート開閉細設定)に時間をかけない」
判断は正しい一方で、FW製品選定は"DNS/URL/ L7フィルタと脅威インテリの取り込みやすさ"で選ぶ方向に軸を 移すのが2026年の最適解です。
2. お薦めファイアウォール3選(VPS運用前提)
① OPNsense(第一推奨・現行構成の継続強化)- 理由: WireGuard/IKEv2 ネイティブ、UIモダン、
FreeBSD派生のセキュリティ更新が早い。何より Zenarmor(旧Sensei)プラグインでL7アプリ制御 +クラウド脅威インテリ、SuricataでIDS/ IPSが標準搭載、CrowdSecプラグインで協調ブロックリ ストが使え、「人間系脆弱性を突く出口通信」を止める構成が最も 組みやすい。 [opensource...curity.net], [diymediaserver.com] [sourceforge.net], [slashdot.org] 注、Suricataはデコード負荷が重くVPSでは辛い。MACアドレスで除外する仕掛けもあるが、まずは「無し」か、 せいぜいスマホ・タブレット・PCに限って開始すべし。 - VPSでの相性: KVMベースのVPS(1〜2 vCPU/2GB RAM)で十分動作。
- 脅威認識との整合: DNSフィルタ(Unbound + Adguard風ブロックリスト)を組めば、フィッシング/
C2ドメインを名前解決段階で遮断でき、 EDR無し家庭環境の弱点を実質補えます。 [cyberpress.org] - 既に導入済みなら、追加すべきは: ① Zenarmor無償版、② CrowdSec、③ ブロックリスト連携(NextDNS/Quad9をリゾルバに)
。
② pfSense CE / pfSense Plus(安定性重視のセカンドチョイス)- 理由: FreeBSDベース、実運用歴が最も長く、
商用機と同等の実績。「一度組んだら数年触らず安定運用したい」 ケースに最適。 [opensource...curity.net] [jisaku.com] - VPSでの相性: クラウド公式イメージが揃い、
Netgate公式のクラウドテンプレートあり。 - 注意点: ここ数年、機能の一部が **pfSense Plus(有償)**側に寄っており、
Netgateの方針変更リスクが指摘されています。 WireGuardは長らくプラグイン扱いで、 更新頻度もOPNsenseに劣ります。 [opensource...curity.net], [diymediaserver.com] [diymediaserver.com] - 選ぶなら: 業務併用でサポート契約したい/
教科書的なドキュメントを重視する場合。
③ VyOS(CLI/IaC志向・軽量VPS向け)- 理由: DebianベースのルータOSにFW機能を後付けした
設計。**設定がテキスト(commit/rollback可) **でGit管理でき、Ansible/ Terraformとの親和性が高い。VPSで最小リソース(1 vCPU/1GB)でも安定します。 [blog.atomi...etworks.co] - 脅威認識との整合: GUI操作を捨てる代わりに、設定の再現性
・監査可能性が最高クラス。Linux でのFW構築経験があれば学習コストは低いはずです。 - 弱点: IDS/IPS・DNSフィルタは自前で組む必要あり(
Suricata別途、Pi-hole/AdGuard Homeを別コンテナで併設が定番)。「UIぽちぽち」で L7 制御まで完結させたいなら OPNsense、「コードで管理したい」なら VyOS、が住み分けです。 [blog.atomi...etworks.co]
3. 現構成への実務的な追加提案(EDR無しの穴を埋める)
ご認識のとおり、家庭ではEDR/ HTTPSインスペクションは現実的でないため、"入口を絞る" より"出口(egress)を絞る" に投資配分を寄せるのが2026年の合理解です。 OPNsense 導入済みの前提で、以下3点を積むと費用ほぼゼロで人間系脅威に 対する耐性が段違いになります:
追加レイヤ | 具体策 | 効果 |
|---|---|---|
DNSフィルタ | Unboundで**NextDNS / Quad9 / Cloudflare Family (1.1.1.3)**を上流に。無償枠で悪性ドメイン・ | フィッシングURLのクリック事故を"名前が引けない" |
CrowdSec プラグイン | OPNsense公式リポジトリから導入。 | エッジ機器狙いのブルートフォース/スキャンを協調防御 |
VPS側SSHの多要素化 | fail2ban + 公開鍵限定 + 管理UIをTailscale/WireGuard越しのみに | Check Point 2026が警鐘を鳴らす「エッジ機器そのものの侵害」 [research.c...kpoint.com]を回避 |
まとめ
- 「人間系が主流」、「家庭でL3/L4細設定はROI低い」は妥当。脆弱性悪用は増、「エッジ機器自体が標的化」 。
- 3選は ① OPNsense(推奨)/② pfSense(安定)/③ VyOS(IaC) 。既に OPNsense 26.1 導入中であれば、製品変更よりも "DNSフィルタ + CrowdSec + 管理面の堅牢化" を積む方が投資対効果が高い構図です。
DNSによるセキュリティ対策、DNSサービスプロバイダー3選
自宅用途なら、まず OPNsense + WireGuard + NextDNS を作り、
その後に必要性を感じたらSuricataやZenarmorを
Sophos UTM時代の「全部ONで複雑化」
3つのDNSサービス、効果の差(イメージ)
機能 | 1.1.1.2 | Quad9 | NextDNS |
|---|---|---|---|
既知マルウェア遮断 | 〇 | ◎ | ◎ |
既知フィッシング遮断 | 〇 | ◎ | ◎ |
広告遮断 | × | × | ◎ |
カテゴリ制御 | × | × | ◎ |
ログ分析 | × | × | ◎ |
ポリシー管理 | × | × | ◎ |
機器別制御 | × | × | ◎ |
厳密には「Quad9の方が上」
2026年の家庭向け防御で最もROIが高いと思うのはIPSで
DNSフィルタ + 多要素認証 + パスワードマネージャ
の3点です。これは近年の攻撃が「侵入技術」よりも「
<------- 以上はCopilot回答を編集、以降はGemini回答を編集 --------->
ここからはHTTPSデコードが主な論点
Suricataも稼働して、HTTPSデコード機能を使用する場合に、留意すべきこと。例えば「Android TVのYouTubeはアプリが正規証明書を求めるので、デコードが使えない。それをどうするか?(対象外として扱う良い手立ては?)」、「私が居ない時にアクシデント(例、DHCPで特定端末にIPアドレス固定リースのシナリオが崩れる)があってもネット利用は持続可能か?」といった事。
Suricataも稼働して、HTTPSデコード機能を使用する場合に、留意すべきこと。例えば「Android TVのYouTubeはアプリが正規証明書を求めるので、デコードが使えない。それをどうするか?(対象外として扱う良い手立ては?)」、「私が居ない時にアクシデント(例、DHCPで特定端末にIPアドレス固定リースのシナリオが崩れる)があってもネット利用は持続可能か?」といった事。
◆ NextDNSで、MACアドレスでのエイリアス管理は可能か?
システム構成によっては可能。リスクヘッジの仕組みは以下の通り。(家庭内LANにOPNsenseを導入する前提で?AIが回答してしまっていて私の意図とズレている。後日再検討する)
- 仕組み:OPNsenseのDHCPサーバー機能で、「
このMACアドレス(Android TV)が来たら、必ずこのIP( 192.168.1.50)を貸し出す」というルール(固定割り当て) を1度だけ登録します。 - エイリアスの連動:あとはOPNsenseのエイリアス機能で「
はSuricata対象外」192.168.1.50 と設定しておくだけです。 - ルーター故障時の挙動(リスクヘッジ):
前段のWi-Fiルーター(ブリッジ/APモード)が故障して新品に交換した場合でも、新ルーターを同じように「 ブリッジモード」で繋ぎさえすれば、 DHCPでIPを配るのはあくまで背後の「OPNsense」 のままです。端末のMACアドレスは変わらないため、新しいWi - Fi経由でもテレビには自動的に全く同じIPアドレスが割り当て られ、Suricataのバイパスも維持されます。 家族が何も触らなくても通信は止まりません。
◆ HTTPSデコードの負荷に注意
「さくらのVPS(2Core / 1GBメモリ)」ですが、「 CrowdSec単体なら余裕で合格、しかしSuricata( 特にHTTPSデコードや大量のパケットスキャン) を動かすには完全にスペック不足(不合格)」というのが冷徹な現 実です。
仮想2Core・メモリ1GBという環境において、 各ソフトウェアがどう動くかをシミュレーションします。
◆ 実践的な「妥協案」と構成のアドバイス
もし「さくらのVPS(2Core / 1GB)」という限られたリソースで、 週末のネットワーク趣味を最大限楽しむのであれば、以下の「 引き算の構成」が最もおすすめです。
- Suricataのルールを極限まで絞る:
初期設定のまま何万件ものルールを有効にせず、「マルウェアのC2通信検知」など、本当に興味のある数ジャンル( 数百件程度)のルールだけを厳選して有効化します( これでメモリ消費を数百MBに抑えられます)。 - HTTPSデコードは絶対にやめる:
デコードは諦め、Suricataには「暗号化されたパケットのヘッダ(SNI)監視」だけをさせます。 これならCPU負荷は数%で済みます。 - 防御の主軸はCrowdSecにする:
重い処理はさせず、世界中の協調分散ログから生成された「IPブラックリスト(DNSBL)」 の適用をメインの盾とします。
この構成であれば、メモリ1GBのVPSでも十分に「落ちない、 かつログ解析で遊べる面白いプライベート防壁」が構築可能です。
OPNsenseのVPNプロトコル4選
OPNsense環境を前提に陳腐化リスク、設定難易度、軽さ、ポピュラー度、OS標準組込み有無などの視点でしらべた。
--- 以下、Gemini回答をベースに少しだけ手を加えた ---
4つのプロトコル比較表
評価視点 | WireGuard | OpenVPN | IKEv2 (IPsec) | L2TP/IPsec (参考) |
|---|---|---|---|---|
陳腐化リスク | 極めて低い (次世代の標準) | 低い (枯れているが安全) | 低い (企業向け標準) | 高い (Apple等で非推奨化) |
設定の容易さ (OPNsense側) | 非常に簡単 (コードがシンプル) | 普通 (CAや証明書管理あり) | 非常に難しい (GUI変更もあり現在難航) | 普通 (設定例は多い) |
軽さ (速度・低遅延) | 圧倒的に軽い (カーネル動作) | 重い (ユーザ空間動作) | 軽い (カーネル動作) | やや重い (二重カプセル化) |
ポピュラー度 | 急上昇中 | 非常に高い | 高い(特にビジネス) | 低下中 |
オープンソース | YES | YES | YES (StrongSwan等) | YES (Libreswan等) |
Win標準機能で 接続可能か | 不可(アプリ必須) | 不可(アプリ必須) | 可能(要証明書設定) | 可能(要事前共有鍵) |
| プロトコル名 | 標準ポート番号 | 通信プロトコル | 備考 |
| WireGuard | 51820 | UDP | 1つのポートのみを使用する非常にシンプルな構成。 軽量(コード数千行)で高速。モバイル端末でのバッテリー消費抑制。 一部の古い通信環境でサポート無しの場合有り。 |
| OpenVPN | 1194 | UDP (推奨) ※TCPも可 | 標準はUDP。設定次第でTCPの443番(通常のHTTPS通信と同じ)に変更して検閲回避可能。広く普及。 WireGuardよりも通信速度やバッテリー消費量で劣後か。(注、経験的にうなづける) |
| IKEv2/IPsec |
| UDP UDP | 鍵交換に500番、データ通信(NATトラバーサル)に4500番の両方を使用。接続の安定性が非常に高く、Wi-Fiから4G/5Gに切り替わって通信瞬断しても、VPN自動再確立可。 一部のファイアウォールでブロックされやすいポート使用。 |
| L2TP/IPsec |
| UDP UDP UDP | IPsecの制御に500/4500番を使い、L2TPのトンネリング自体には1701番を使用します。主要なOSに標準でクライアントが組み込まれていることが多い。 一方、非推奨化・削除が進行中。 二段階でカプセル化するためオーバーヘッド大きく、速度が低下しやすい。 一部のファイアウォールでブロックされやすいポート使用。 古い環境等でNATトラバーサルの互換性が低く、通信が途中で破棄されるトラブルあり。 |
視点別の詳細評価
1. 陳腐化リスク
- WireGuard: リスクはほぼゼロ。モダンな暗号論(ChaCha20等)
のみを採用し、Linuxカーネルに組み込まれたため、 今後の主流。 - OpenVPN / IKEv2: リスクは低い。設計は古いが、
暗号スイートの更新が続けられており、現役で安全に使えます。 - L2TP/IPsec: リスク高めです。 暗号自体はIPsecなので安全。プロトコルとして古く、Apple製品などで段階的に非推奨・
削除(iOSの標準メニューから消えるなど)が進んでいます。
2. 設定の容易さ(OPNsense 26.1環境)
- WireGuard: OPNsenseのメニュー変更(26.1など)
の影響を受けにくく、 設定項目が数個しかないため最もトラブルが少ない。正しい認証鍵(公開鍵)を持たない通信に対しては一切の応答を返さない設計がデフォルトで組み込まれています。 - IKEv2 (IPsec): OPNsenseのメニュー改編の最大の被害エリア。
StrongSwanの仕様変更に伴いGUIが変わることが多く 、現在もっとも構築の難易度が高い。ステルス化は、ほぼ不可(仕様上、スキャナーに応答してしまう)。 - OpenVPN: 設定手順が確立されており、ドキュメントも豊富。
ただし tls-auth または tls-crypt の有効化は最推奨・必須級:←OpenVPNの標準機能。Shodanなどのスキャナーに対して完全に存在を隠す(ステルス化する)ために設定すべき。正しい鍵を持たない第三者がアクセスしてきても、サーバーはパケットをドロップします。
3. 軽さ(パフォーマンス)
- WireGuard や IKEv2: カーネル空間で動作するためCPU負荷が非常に低く、
回線速度の限界までスループットが出ます。 - OpenVPN: ユーザ空間で動作するため、暗号化のオーバーヘッドが大きく、
通信速度が頭打ちになりやすいです。
4. ポピュラー度合い
- OpenVPN: 知名度・実績ともにナンバーワンです。
- WireGuard: 技術者の間で急速に標準化が進んでいます。
- IKEv2: 法人VPNのデファクトスタンダードです。
5. オープンソース
- いずれもOPNsense側(サーバ側)の内部実装(
StrongSwan, OpenVPN, WireGuard-go/kernel) はすべてオープンソースで構成されています。
「Windowsに何も入れたくない」を踏まえた最適解の考察
「追加インストールによるリスク(脆弱性の混入)を避けたい」 という思想を最優先する場合、結論は以下のようになります。
WireGuard と OpenVPN どちらもWindows標準のVPNクライアント機能では接続で きません。 必ず専用のクライアントソフト( またはサードパーティ製アプリ) のインストールが必要になるため、ユーザー様の「 極力何もインストールしたくない」という条件に反します。
L2TP/IPsec の妥協案Windows標準機能で接続でき、 設定もIKEv2より遥かに対処しやすいです。 独裁国家への旅行がない(=暗号通信のブロックを心配しない) 環境であれば、 自宅用として割り切って使うのは現実解の1つです。ただし、 将来的にOS側で非推奨化が進むリスクは残ります。
結論:IKEv2の壁を突破するのが最善Windowsにソフトを入れず、 かつ今後10年陳腐化しない安全で軽量な環境を作るなら、苦労し てでも「IKEv2」をOPNsense 26.1で開通させるのが最も理想的です。
IKEv2であれば、 Windows標準のVPN機能から追加ソフトなしで、 かつ証明書を用いた非常に安全な接続が可能です。 OPNsense 26.1の新しいメニュー(Connections / プール設定など)に手こずる価値は十分にあります。
Subscribe to:
Posts (Atom)
可能