プロキシサーバーの正体を暴く！あなたが知らない通信の裏側

プロキシサーバーって、たぶん聞いたことある人もいると思うけど、実際のところどういうものなのかはっきり説明できる人はそこまで多くないかもしれません。会社とか学校のネットワークの中だと、いつの間にか自分がアクセスしているウェブサイトとかサービスが、直接じゃなくて何か別の機械（サーバー）を経由していることが多いみたいです。その「間に挟まるやつ」がプロキシサーバーと呼ばれてます。

この仕組みって、なんとなくセキュリティとかプライバシーによさそうだし、ときにはアクセス速度もよくなったりするらしいです。あと場所によって見られないコンテンツ（例えば海外だけで公開されてる動画とか）も、このプロキシを使うことで見れる場合があるみたいですね。ただ、それ以外にも用途はいろいろあって、一部ではキャッシュとして動作することもあるし、たまにロードバランサー的な役割を果たす場面も観測されてます。全体像は掴みにくいですが、使われ方は結構幅広い印象です。

一番メジャーなタイプだと、「フォワードプロキシ」って呼ばれるものが知られていて、多分七十％くらい…いや、それよりちょっと少ないくらい？のケースでこれが使われてる気配があります。技術的には「クライアント」と「目的地」（これがウェブサイトだったり社内ネットワークだったり）との間にそっと座っていて、利用者側から見ると自分のリクエストが最初にそのプロキシ経由になり、その後本当の目的地へ転送される流れになっています。

余談ですが、この仕組みのおかげでIPアドレスを隠せたり、一部制限されたサービスへのアクセス権限をごまかしたりできることもあります。ただ、その辺は状況次第なので確実とは言えません。逆に管理者側からすると、不正アクセスや怪しい通信をフィルタリングしたりする手段として役立つ時もあるようです。それと、大量アクセスへの対応策として負荷分散目的でも活躍することも。もちろん全部の場面で完璧という話ではありませんので誤解なきよう…。

ユーザーのIPアドレスを隠したいとか、まあちょっとしたアクセス制御やらフィルタリング、場合によってはキャッシュの役割も果たしてるものがあると聞いたことがある。たとえば会社のネットワークだったりすると、社員がどこにアクセスできるか細かく決めて、それに従ってリクエストが通ったり止められたりする感じ。社員がウェブサイトを見ようとするとき、そのリクエストはまず代理サーバーを通過して、決まりごとに照らし合わせてから先へ進む。結果として外部サイトから見えるのは社員本人じゃなくて、そのプロキシのアドレスだけになることも多い。

透明なプロキシという種類もあって、これはリクエストを特に加工せずただ中継しているだけみたい。学校や公衆Wi-Fiなんかで使われることもあるそうだが、生徒や利用者側では何か設定する必要すらなく、大抵気づかないうちにそのまま通信内容がチェックされたり、時には不適切なページへのアクセスを弾いたりするケースもちらほら耳にする。利用者本人は存在自体を知らないまま終わる場合も普通っぽい。

匿名性重視のプロキシについてはどうかな…例えばネット規制が厳しい国だと、自分自身のアドレスを伏せてネットサーフィンしたい人たちが使う場面を見聞きした記憶がある。その際でも外部サイト側ではユーザーじゃなくてプロキシ経由のアクセスとしてしか情報が残らないという仕組みになっているらしい。ただし全ての場合で完全な匿名性と言えるわけでもなさそうだし、実際には一部条件付きで効果的という話も聞いたことがあるかな。

例えば、ネットを見ているとき、なんとなく検閲を避けたり、自分の存在をなるべく隠したいと思うことがある。そんな時に使われるもののひとつがハイアノニミティプロキシサーバーとか呼ばれるやつ。エリートプロキシって言い方もどこかで見たことがあった気がする。普通の匿名プロキシより、もうちょっと踏み込んだ匿名性を目指してるみたいで、本当のIPアドレスはもちろん出さないし、サーバー側にも「今これプロキシ使ってますよ」みたいな情報はほぼ送らない感じだったと思う。技術的な話になるけど、「識別できそうなヘッダー」はだいたい削除されるっぽい。だからなのか、一部ウェブサイトでは誰かが代理経由してるのかどうか判断しにくいこともある、と聞いた覚えもある。

話題変わるけど、ディストーティングプロキシという仕組みもまた別にあって、こちらは本来の利用者のIPアドレスそのものじゃなくて、全然違う適当なIP（多分偽装されたやつ）を相手先に伝える方法らしい。「偽情報」っていうほど大げさじゃない場合もあるけど、地域制限とか抜けたい時によく使われている印象があるかな。例えばイギリスから米国限定の何かにアクセスしたかった人が、そのプロキシを介すと「米国っぽい場所」からアクセスしてるように見せられるケースもちらほら。ただ、それが常に機能するとは限らず、不安定なところも感じた。

あと最近はデータセンタープロキシという言葉もちょっと耳にするようになった気がするんだけど…これは住宅用IPじゃなくて、データセンター系統から割り振られてるIPアドレスを利用して中継するタイプだったような。その辺り細かい仕組みに関してまでは自信ないけれど、大雑把にはそんな認識で合ってたと思う。

データセンターのプロキシについて話すと、実際かなり高速で動くことが多いようだ。ウェブの情報を集めるとか、自動的にサイトを巡回する作業なんかでよく使われているみたい。まあ、サーバーから発信されるIPなので、どうも簡単に見抜かれてしまう傾向があるらしい。匿名性はそこまで高くないと言われているし、データセンター由来だと分かれば遮断されたりアクセス制限を受けたりするケースも出てくるとのこと。たとえば、大手の通販サイトから大量の商品情報を一気に集めたい企業などでは、このタイプを使って短時間で何百回もリクエストを送ったりしている例がある。ただ、そのやり方が長続きするとは限らなくて、途中で一部のアクセスだけ止められることもそれなりに起こっている。

住宅用プロキシというものもある。これは普通の家庭向けインターネット契約でもらえるIPアドレスが使われるので、一見するとただの一般利用者みたいに見せかけられるそうだ。この種類は検知されづらい場合が多いようで、たとえばマーケティング関連の調査や競合他社のサイト分析などにも採用されてきたケースがちらほら聞こえてくる。普通のお宅からアクセスしている風だから、何となく目立ちにくい。そのおかげで制限やブロックを回避できるタイミングもありそうだし、ごく自然な形で目的達成へ近づける状況も生まれている気配がある。

公衆プロキシについては、不特定多数が自由に使える設定になっていて、大体無料で提供されていることが多い印象だ。ただ、多人数による同時利用とか原因不明の通信遅延など、不安定さも目立つ部分になるんじゃないかな…セキュリティ面もちょっと心配なところ。小規模事業者なんかが普段使わない国や地域向けウェブページを見る必要が出た時、とりあえずこれでアクセスしてみる事例もたまには耳にする。でも速度や安全性には過度な期待はできない感じ。本当に用途次第では役立つこともあるし、まったく効果を感じない場面もそれなりに混じっていそう。

コスト面ではそこそこ手頃な選択肢だけど、どうやら他のユーザーと同じIPアドレスを使うことになるみたい。だから通信速度がなんとなく落ちたり、もし別の利用者が妙な動きをした場合には匿名性の面で何かしら影響を受けることもあるようだ。

SSLプロキシサーバーっていう仕組みがあって、これはクライアントと接続先の間のデータをSSL/TLSで暗号化する役割。ただ、その途中でプロキシ自身が通信内容をいったん解読して、中身を見たり必要なら少し手直ししてから、また暗号化して目的地に届ける流れになる。例えば…まあ企業なんかだと従業員がネットを見る時に、このSSLプロキシを通じてウイルスとか危ないものが混ざっていないか確認したりするケースもあるそう。HTTPSサイトへのアクセスでも、その暗号化された通信を一回ほどいてチェックしてから再び包み直す感じ？

ローテーション型のプロキシサーバーというものもあって、このタイプは定期的に—どちらかと言えば数分単位だったりリクエストごとだったり—IPアドレスを切り替えていくようになっている。ウェブスクレイピングなんて用途では特に重宝されている気配で、アクセスごとに違うユーザーっぽく見せることで、相手側サイトから制限されたりブロックされたりする確率が減るとか聞いたことがある。それぞれのリクエストがまったく別々の発信元として映るので、大規模な収集作業にも向いているという声も。

逆プロキシサーバーについては…利用者とウェブサーバーとの間に位置する存在で、クライアントから来たリクエストを裏側の適切なサーバーへ振り分けたりする感じかな。正直、この辺は実際どう運用されているか詳しく見たことはないけど……

フォワーディングプロキシというのは、どうもクライアント側の情報を外部に出さない仕組みがメインになっているらしいんだけど、逆プロキシ（リバースプロキシ）は反対側――つまりサーバーの素性を隠す役割があると聞いたことがある。セキュリティとかキャッシュ機能、それに負荷分散なんかで使われることもそこそこ多いようだ。ウェブアプリだと、利用者から来たアクセスを複数のサーバーに振り分ける例がよく話題になるかなあ。ページをリクエストされても、その裏でどのサーバーに投げるか決めているのは実はこの逆プロキシだったりする、と言われている。

ところでスプリットプロキシというタイプも存在していて、ざっくり言えば通信経路をいくつかに分けて、それぞれ違うルールや条件で別々のサーバーへ流す感じになるみたい。例えば…企業なんかではカテゴリごとにウェブスクレイピング用のトラフィックだけ特定の代理サーバー通して送信したりする場面もあった気がする。ただ実際には、状況や環境によって運用方法も色々異なるらしく、一概には語れない部分もありそうだね。

企業のネットワークの中では、例えばHTTP通信といっても、普通のウェブサイト閲覧ならかなりシンプルなプロキシサーバーに流されることがあるけれど、ファイル転送みたいな作業の場合は、もっと得意なプロキシに回されることもある。何台か分担して動いている感じ、とでも言えば近いかもしれない。 それから――非透過型プロキシというものもあって、このタイプになると利用者本人には自分の通信経路がどうなっているかほとんど伝わらない。気づかずに使ってしまうことも少なくなくて、大まかには社員のネット利用状況をそっと見守ったり、一部のウェブサイトへアクセスできないよう制御する会社なんかで導入されていたようだ。ただし本当に全部隠せているかは環境次第とも聞く。 そういえば、「敵対的」プロキシみたいな言葉も耳にしたことがある。これはたしか悪意を持つ誰かが作る種類で、人目につきにくい場所で通信内容を盗み見たり、情報を書き換えたりするケースが多かったらしい。銀行系のサービスとのやり取りとかで、気づかぬうちに個人情報など抜き取られてしまう事例もちらほら報告された時期があったとか。ただし、それほど頻繁という印象は受けなかったかな…今となっては昔話めいて聞こえるけど、その手口自体はいまだ完全になくなったとは言えないと思う。

どこかで聞いた話だが、代理サーバを通すことでユーザーのログイン情報が抜き取られたり、知らないうちに送金先が書き換えられることもあるそうだ。特に「インターセプト型プロキシ」って呼ばれているものは、利用者とウェブサーバのやり取りを途中でつかまえてしまう仕組みになっている。通信内容を覗いたり書き換えたり、場合によっては記録までできるみたいだけど、お互い気づかないことが多いとか。

こういう仕掛けはセキュリティ調査員なんかがウェブアプリの安全性を確かめる時にも使うことがあるという話も耳にしたことがある。たとえば、誰かがログイン画面から何気なく情報を入力すると、その送信内容がプロキシ側で捕捉されてしまう。それによって専門家はパスワード管理の甘さや他の穴を探したり、わざとリクエストを書き換えて試してみることも少なくないらしい。ただ実際には細かな挙動や影響範囲についてはケースバイケースで、一概には言えなさそうだ。

あと、「強制プロキシ」と呼ぶタイプについてもどこかで話題になっていた気がするけど、その詳細はここではあまり語られていなかったような…

ネットワークの世界には、時折「強制プロキシ」みたいな仕組みが登場することがある。これ、社員のインターネット利用に限ってはほぼ避けられない感じで、だいたい企業や団体が内部ルールや設定で全員の通信をそのプロキシ経由にしてしまう。直接外部につながることはまずできず、全部ゲートウェイを通ってしまうから、ちょっと安心と言えばそうかもしれない。例えば怪しいサイトを遮断したり、閲覧履歴を記録したりして情報漏洩も抑えているようだけど、それも完璧とは言い切れない部分もあるらしい。まあ、「社員が自分勝手にネットへ出ていく」なんてことはおそらく考えにくい環境になる。

一方で、「キャッシュ型のプロキシサーバー」というものもあって――これについてはよく似た話題として語られる気がする。何年か前から、多くの人が同じページばかり開いていると、その内容をまとめて保存しておいてくれるんだとか。このため、一度見たウェブサイトなら次回以降すごく早く表示されるケースも珍しくない。元のサーバーまで行かずとも済むので、通信量もちょっぴり減ったりする模様。ただし全部に効き目があるわけでもなく、一部の場面ではそれほど大きな違いにならないこともあるようだ。

実際にはこういう仕組みのおかげで、多人数が似たような情報にアクセスしている時なんか、効果を感じやすい場合も見受けられる。でも絶対的な解決策というより、その状況や使われ方次第で恩恵を受ける程度なのかな、と個人的には思える。

キャッシュしたデータを使って、誰かが次にそのサイトを開くときには、もう一度元のサーバーに取りに行かなくてもいいみたいですね。体感だと、何となく速く感じることも多いです。

ウェブのプロキシというものは、HTTPとかHTTPSの通信を仲介している感じです。人によっては「Webプロキシ」と呼ぶこともあるし、「リバースプロキシ」やら色々言い方が分かれたりするんですが、とりあえずネットでどこかのページ見ようと思った時、自分のパソコンからダイレクトじゃなくて、一旦その代理サーバーにお願いして取ってきてもらう形になります。それで、そのサイト側には自分のIPアドレスが直接伝わらない…そんな仕組みかなぁと思います。制限回避だったり、たまに速度アップにも役立つことも。

SOCKSプロキシ？それは少し違っていて、なんだかHTTP専用じゃないっぽいんですよね。FTPとかメール（SMTP）、トレントなんかにも使えるような話を聞いた気がします。セッション層とかいうところで動いてるのでしょうか…技術的な細かい話はさておき、とにかく色んな種類の通信を中継できるみたいです。例えば、ある人がファイル共有アプリ経由で海外サイトにつなごうとして、このSOCKSプロキシを通すことで、その人の本当のIPアドレスが外部には出ない状態になるそうです。それで地域制限やISPによるブロックも多少回避できる場合があるとか。ただ、全部うまくいくとは限りません。

HTTPだけ対応しているものもあります。「HTTPプロキシサーバー」という名で呼ばれるけれど、それぞれ向いている用途は微妙に違ったり…。

メール用のプロキシも存在すると聞いたことがありますね。これはメール送信や受信時に、一度代理サーバーで内容確認したり、不正な送信元アドレスだった場合チェックしたりする機能だそうです。一応フィッシング詐欺対策とかスパム削減には貢献できる可能性があります。でも完璧というわけではないでしょう。普段メールを送るとき、そのクライアントソフトから直接相手先へ繋ぐんじゃなくて、一度この中間サーバー経由になっている場合もありそうですね。

まあ、代理サーバー（プロキシ）全般について何となくまとめてみると――
・ちょっと匿名っぽさ（プライバシー保護）は期待できそう
・利用者によってはセキュリティ面でも安心材料になる時も
・アクセス履歴管理や通信量調整など会社内でも使われたり
・キャッシュによって読み込み待ち時間短縮…されてる気も？
・地理的な制約超えるため試す人もちらほら

有名どころだと、「Squid」とか「HAProxy」と呼ばれているもの、それ以外にも「Nginx」「Apache Traffic Server」「TinyProxy」など耳にした覚えがあります。他にも「3Proxy」「CCProxy」「Privoxy」、最近なら「SOAX」や「Oxylabs」「Smart Proxy」なんてサービス系統まで含めれば選択肢はいろいろ増えてきました。ただ、その性能や目的にはそれぞれ特徴あるので、自分に合ったもの探す必要ありそうです。

ここまでざっくり書いてしまいましたけど、本当に奥深い世界ですね…。これだけでは語り尽くせない部分もちょこちょこ出てきますし、人によって使い方や感じ方も違うでしょう。また新しい発見でもあれば、その都度ゆるっと紹介できたら良いかな～と思います。それじゃ、またどこかで！