※本ページにはプロモーション(広告)が含まれています
VPNに接続しているはずなのに、IP確認サイトを開くと契約中のプロバイダ名がそのまま表示される、DNSリークテストで日本国内のISPのサーバーが出てくる——。こうした「VPNを使っているのにIPアドレスが漏れている」状態には、①グローバルIPそのものが漏れている、②DNSクエリ(名前解決の問い合わせ)だけが漏れている=いわゆるDNSリーク、③ブラウザのWebRTC機能から実IPが露出している、という3つの経路があります。
最短の対処は、VPNアプリの設定にある「キルスイッチ」「DNSリーク保護」「IPv6リーク保護」といった保護機能(名称はアプリにより異なります)を有効にしてから、確認サイトでVPN接続前後の表示を見比べることです。どの経路から漏れているかさえ特定できれば、多くのケースは無料の設定変更だけで塞げます。
この記事は、公衆Wi-Fi利用時の通信保護やプライバシーの確保を目的にVPNを使っている方に向けて、漏れの種類の見分け方・自己診断の手順・無料でできる対処・仕組み上どうしても塞げないケースの順に解説します。なお、動画配信サービスなどの地域制限を回避する目的での利用は、サービスの規約に反する場合があるため本記事では扱いません。
📑 この記事の目次(タップで開く)
この記事でわかること
- 「VPNを使っているのにIPが漏れる」ときに実際に漏れている情報の3つの種類(グローバルIP・DNSクエリ・WebRTC)
- IP確認サイト・DNSリークテスト・WebRTCテストの結果画面で、どの項目を見て「漏れているか」を判定すればよいか
- VPNアプリのキルスイッチ・DNS保護・IPv6リーク保護を有効にする一般的な手順(無料でできる対処)
- OSのIPv6を無効化する手順と、IPoE接続など日本の回線環境ならではの副作用
- 設定では塞ぎきれないケース(自前DNSを持たない実装・無料VPNの限界)の見分け方
- DNSリーク保護・キルスイッチを標準搭載したVPNを選ぶときのチェックポイント
まず全体像:症状と対処の早見表
症状ごとに「何が漏れていると考えられるか」と「どの手順から読めばよいか」を一覧にまとめました。ご自身の状況に近い行から読み進めていただいても構いません。
| 症状 | 疑われる漏れ | 診断 | 主な対処 |
|---|---|---|---|
| VPN接続中なのにIP確認サイトのIPアドレスが接続前と同じ | グローバルIPの漏えい(VPNが実質機能していない) | 手順4 | 再接続・手順7(キルスイッチ)・手順9 |
| IPは変わったのに、DNSリークテストで契約プロバイダ名が出る | DNSリーク | 手順5 | 手順7(DNS保護の有効化) |
| WebRTCテストの結果に実IPが表示される | WebRTCリーク | 手順6 | 手順8(ブラウザ側の対策) |
| 普段は正常だが、切断の瞬間だけ素の通信が流れていそう | 切断時の漏えい | 手順4を切断直後に実施 | 手順7(キルスイッチの有効化) |
| 設定をすべて有効にしても漏れが止まらない | 実装上の限界の可能性 | 手順10〜11で確認 | 保護機能を標準搭載したサービスの検討 |
「IPアドレスが漏れている」の正体は3種類——何がどこから漏れているのかを分解する
VPN(Virtual Private Network)は、お使いの端末とVPNサーバーの間に暗号化されたトンネルを作り、インターネットへの通信をいったんVPNサーバー経由にする仕組みです。正常に機能していれば、Webサイト側から見えるのはVPNサーバーのIPアドレスであり、あなたが契約している回線のグローバルIPやプロバイダ名は直接見えません。ところが、トンネルの「外」を通る通信が少しでも残っていると、そこが漏れの経路になります。やみくもに設定をいじる前に、まず「何が漏れているのか」を3つに分けて整理しましょう。ここが分かると、後の診断と対処が一気に楽になります。
「VPNを使っているのに、なぜ漏れるのか」と疑問に思うかもしれませんが、実はVPNによる保護は1つのスイッチで完結しているわけではありません。通信本体を運ぶトンネル、サイト名を調べる名前解決(DNS)、そしてブラウザ自身が行う通信という複数の要素が協調して初めて「漏れない」状態が成立します。このうちどれか1つにでも抜け道があると、そこだけが素の回線を通ってしまう——これが「接続しているのに漏れている」の正体です。

1. グローバルIPそのものが漏れている(VPNが実質機能していない状態)
いちばん分かりやすいのがこのパターンです。VPNアプリ上は「接続中」に見えるのに、IP確認サイトに表示されるIPアドレスが接続前と変わらない、あるいはISP(プロバイダ)欄に自分の契約プロバイダ名がそのまま出ている状態で、VPNが実質的に機能していません。
IP確認サイトでは、一般的に「IPアドレス」「ホスト名」「ISP」「組織(Organization)」「国・地域」といった項目が表示されます(項目名はサイトにより異なります)。VPNが正常なら、IPアドレスはVPNサーバーのものになり、ISPや組織の欄はVPN事業者名またはそのサーバーを提供するデータセンター事業者らしき名称に変わります。ここに見慣れた契約プロバイダの名前が出ていたら、通信はトンネルを通っていません。
原因としては、接続しているつもりで実は切断されていた、接続が確立する前にページを開いていた、特定のアプリだけVPNを通さない「スプリットトンネリング」機能の設定が意図せず効いていた、VPNがIPv4しかトンネルしない実装のためIPv6側の通信が素通りしていた、などが考えられます。とくに最後のIPv6の素通りは見落としやすいので、後述の手順で確認します。
2. DNSクエリが漏れている(DNSリーク)
Webサイトを開くとき、ブラウザは最初に「このサイト名はどのIPアドレスか」をDNSサーバーへ問い合わせます。これが名前解決(DNSクエリ)で、DNSはよく「インターネットの電話帳」に例えられます。VPN接続中は、この問い合わせもトンネルの中を通ってVPN事業者側のDNSサーバーで処理されるのが理想的な動作です。
ところが、何らかの理由で名前解決の問い合わせだけがトンネルの外へ出て、契約プロバイダのDNSサーバーへ流れてしまうことがあります。これがDNSリークです。この状態では、Webサイトとの通信本体はVPNを通っていても、「どのドメイン名を調べたか=どのサイトへ行こうとしたか」という情報がVPNの外側の設備に届いてしまいます。
誤解のないように補足すると、DNSリークで漏れるのはあくまで名前解決の内容であって、ページの中身や入力したパスワードが見えるわけではありません(HTTPS対応サイトなら通信内容は暗号化されています)。ただし、アクセス先の傾向はある程度推測され得るため、「通信経路ごと保護したい」というVPN本来の目的からすると、確実に塞いでおきたい漏れです。
確認にはDNSリークテストのサイトを使い、結果に表示されるDNSサーバーの「IPアドレス」「国」「ISP/組織名」を見ます。見方の詳細は手順5で解説します。
3. WebRTC経由で実IPが露出している(ブラウザ機能によるリーク)
WebRTC(Web Real-Time Communication)は、ブラウザ同士がサーバーを介さずに映像・音声・データを直接やり取りするための標準技術で、ブラウザで動くビデオ会議や音声通話などに使われている正規の機能です。技術自体が悪いものではありません。
問題は、相手と直接つながる準備のために、WebRTCがSTUNと呼ばれる仕組みで「自分は外部からどのIPアドレスに見えるか」を調べる点です。この問い合わせがVPNのトンネルを通らずに行われ、結果としてVPN接続中でも実IPがブラウザ経由で取得できてしまう場合があるとされています。VPN本体もDNSも正常なのに、ブラウザの機能だけが抜け道になる、というのがWebRTCリークの厄介なところです。
WebRTCリークテストのページでは、「Public IP Address」など外部から見えるIPを示す欄を確認します。ビデオ通話を使っていなくても、JavaScriptが動くページであれば同様の方法でIPを調べられ得るため、プライバシー重視の方は一度確認しておく価値があります。
3種類の漏れを比較表にまとめます。
| 漏れの種類 | 漏れる情報 | 主な原因 | 確認方法 |
|---|---|---|---|
| グローバルIPの漏えい | 実IPアドレス・契約ISP名 | 未接続・切断・スプリットトンネリング・IPv6の素通り | IP確認サイトで接続前後を比較 |
| DNSリーク | 名前解決の内容(どのサイト名を調べたか) | 名前解決がISPのDNSへ流れる実装・OS側の挙動 | DNSリークテストで組織名と国を確認 |
| WebRTCリーク | 実IPアドレス(ブラウザ経由) | ブラウザのWebRTCがトンネル外で自分のIPを調べる挙動 | WebRTCテストでPublic IP欄を確認 |
自己診断の3ステップ——どこから漏れているのかを特定する
ここからは実際に手を動かして、どの経路から漏れているのかを特定します。3つのテストを順に行うだけで、所要時間は合計10分ほどです。始める前の準備として、VPNアプリを最新版に更新しておくこと、テストは普段お使いのブラウザで行うことをおすすめします。また、テスト中に控える「実IPアドレス」はあなたの回線を示す情報ですので、メモやスクリーンショットを不用意に他人へ共有しないよう注意してください。
テストの精度を上げるコツも3つ挙げておきます。1つめは、VPNの接続・切断を切り替えたら、ページを開く前に数秒待つことです。切り替えの直後は経路が安定しておらず、古い状態の結果が表示されることがあります。2つめは、判定に迷ったらブラウザをいったん終了して開き直す、またはシークレットウィンドウ(プライベートブラウズ)で試すことです。キャッシュの影響を減らせます。3つめは、1つのサイトの結果だけで結論を出さず、2つ以上の確認サイトで同じ傾向が出るかを見ることです。サイト側の一時的な不具合や表示の癖に振り回されにくくなります。
4. VPN接続前後でグローバルIPを比較する
最初に、VPNがそもそも機能しているかを確かめます。
- VPNを切断した状態で、検索エンジンで「IPアドレス 確認」と検索し、IP確認サイトを開きます。
- 表示された「IPアドレス」と「ISP(プロバイダ名・組織名)」を控えます。これがあなたの実IPです。
- VPNアプリで接続します。アプリ上で接続完了の表示になったことを確認してください。
- 同じIP確認サイトを開き直し(ページの再読み込み)、表示を確認します。
- IPアドレスが手順2で控えたものと別の値に変わり、ISP欄がVPN事業者またはデータセンター事業者らしき名称になっていれば、この経路は正常です。
判定:VPN接続中なのにIPアドレスもISP名も手順2と同じなら、グローバルIPが漏れています。まずはVPNの再接続・接続サーバーの変更・アプリの再起動を試し、それでも変わらない場合はアプリの再インストールも検討してください。改善しないときは、後述の手順7(キルスイッチ)と手順9(IPv6)が関係している可能性があります。
補足として、IPv4とIPv6のアドレスを別々に表示してくれる確認サイトでは、「IPv4はVPNのIPに変わったのに、IPv6欄には実IPらしきアドレスが出たまま」という結果になることがあります。これがいわゆるIPv6リークで、VPNがIPv6の通信をトンネルに通せていないサインとされます。この場合の対処は手順7のIPv6リーク保護、または手順9で解説します。
5. DNSリークテストで「所在国」と「組織名」を確認する
次に、名前解決の問い合わせがどこへ流れているかを確かめます。
- VPNに接続した状態で、検索エンジンで「DNSリークテスト」と検索し、テストサイトを開きます。dnsleaktest.com・BrowserLeaks・ipleak.netといったサイトが知られていますが、表示項目や名称はサイトごとに異なります。VPN事業者が公式に提供しているテストページもあります。
- 標準テスト(Standard)と拡張テスト(Extended)が選べる場合は、より多くの問い合わせを送って精度を高められる拡張テストを実行します。
- 結果一覧に表示されたDNSサーバーの「国」と「ISP/組織名」を確認します。
判定:表示された組織名がVPN事業者(またはその提携先とみられる事業者)だけであれば正常とされます。自分の契約プロバイダ名や、身に覚えのある国内ISPの名称が1つでも混ざっていれば、DNSリークが起きています。VPN接続中にISP名が自分の契約プロバイダのままなら漏れている、と覚えておくと分かりやすいです。
2つ補足があります。1つめは、結果に複数のDNSサーバーが並ぶこと自体は異常ではないという点です。DNSは複数のサーバーで分散処理されるのが普通なので、見るべきは表示された数ではなく「運用しているのが誰か」です。2つめは、ブラウザの「セキュアDNS(DNS over HTTPSと呼ばれる方式)」を有効にしていると、VPNでも契約ISPでもない公共DNS事業者の名前が表示される場合があるという点です。これはISPへの漏れとは性質が異なりますが、VPNアプリのDNS保護と挙動が競合することもあるとされるため、切り分けの間だけブラウザのセキュアDNS設定を既定値に戻すと判定しやすくなります。
6. WebRTCテストで実IPの露出を確認する
最後に、ブラウザ経由の露出を確かめます。
- VPNに接続したまま、検索エンジンで「WebRTC リークテスト」と検索し、テストページを開きます。BrowserLeaksのWebRTCテストや、VPN事業者が提供する確認ページなどが知られています。
- 「Public IP Address」など、外部から見えるIPアドレスを示す欄を確認します。
- 手順4の2で控えた実IPが、そこに表示されていないかを確認します。
判定:控えておいた実IP(またはVPNサーバーとは明らかに別の、自宅回線らしきIP)が表示されたら、WebRTCリークです。対処は手順8で解説します。
なお、結果に「192.168.」などで始まるアドレスが表示されることがありますが、これはローカルIP(家庭内ネットワーク用のアドレス)で、それ単体で個人が特定される性質のものではないとされています。慌てる必要はありません。見るべきはあくまでグローバルIP(実IP)が出ているかどうかです。
診断結果と読むべき対処のつながりを整理します。
| テスト結果 | 判定 | 読むべき対処 |
|---|---|---|
| 手順4でIPアドレスが変わらない | グローバルIPの漏えい | 手順7・手順9 |
| 手順5で契約プロバイダ名が表示される | DNSリーク | 手順7(DNS保護) |
| 手順6で実IPが表示される | WebRTCリーク | 手順8 |
| 3つとも正常 | 現時点で漏れなし | 環境が変わったときに再テスト(FAQ参照) |

無料でできる対処——アプリ・ブラウザ・OSの3層で塞ぐ
ここからは費用をかけずにできる対処を、影響の小さい順に紹介します。基本方針は「まずVPNアプリの設定で塞ぎ、足りない部分をブラウザとOSの設定で補う」です。設定を1つ変えるたびに、前のセクションの3テストで効果を確認しながら進めると、どの設定が効いたのかが明確になります。
7. VPNアプリの保護機能を有効にする(キルスイッチ・DNS保護・IPv6リーク保護)
多くの有料VPNアプリには、リークを防ぐための保護機能があらかじめ用意されています。ただし、初期状態ではオフになっている場合もあるため、まず設定画面を確認しましょう。代表的な機能は次の3つです(名称はアプリによって異なります)。
- キルスイッチ(Kill Switch・ネットワークロックなどと呼ばれることもあります):VPN接続が予期せず切れた瞬間に端末の通信を遮断し、素の回線のまま通信が続いてしまうのを防ぐ機能です。切断時だけ働く方式と、VPN未接続の間は常に通信を止める方式の両方を選べるアプリもあります。
- DNSリーク保護(「VPNのDNSサーバーを使用」「DNS漏えい防止」などの表記も見られます):名前解決の問い合わせを強制的にVPN側のDNSへ向ける機能です。
- IPv6リーク保護(「IPv6をブロック」などの表記も見られます):IPv6経由の素通りを防ぐ機能です。
設定の一般的な流れは次のとおりです。
- VPNアプリの設定画面(歯車アイコンなど)を開きます。
- 「セキュリティ」「接続」「詳細設定」といった分類を順に確認します。メニュー構成はアプリとバージョンによって異なります。
- 上記3つに相当する項目を探し、それぞれ有効にします。
- アプリをいったん終了してから再接続し、手順4〜6の3テストをやり直します。
該当する項目が見つからない場合は、お使いのVPNの公式ヘルプで機能名を検索してみてください。そもそも搭載されていないサービスだった場合は、手順10〜11の「塞げないケース」に該当する可能性があります。
キルスイッチについて1つだけ注意があります。有効にしている間は、VPNが切れるとインターネット全体が使えなくなります。これは故障ではなく保護機能が正しく働いている状態ですので、「急にネットが繋がらなくなった」と感じたら、まずVPNの接続状態を確認する習慣をつけてください。
キルスイッチが実際に働くかどうかを軽く確かめておきたい場合は、キルスイッチを有効にした状態でVPNの接続が切れたときに、ブラウザの再読み込みが失敗する(通信が止まる)ことを確認する方法があります。ただし、アプリからの手動切断はキルスイッチの対象外で、予期しない切断のときだけ働く設計になっているアプリもあるとされます。挙動の詳細はお使いのVPNの公式ヘルプで確認するのが確実です。
8. ブラウザ側でWebRTCの露出を抑える
WebRTCリークが確認された場合の対処です。前提として、WebRTCはブラウザ内のビデオ会議・音声通話などを支える正規の機能なので、完全に無効化するとそれらの機能が動かなくなるという副作用があります。この点を理解した上で、お使いのブラウザに合わせて対処してください。
Firefoxの場合:アドレスバーにabout:configと入力して詳細設定を開き、注意書きに同意して進みます。検索欄にmedia.peerconnection.enabledと入力し、値をfalseに切り替えると、WebRTCそのものを無効化できるとされています。ブラウザ内のビデオ通話・画面共有が使えなくなるため、必要になったらtrueに戻してください。詳細設定の変更は自己責任の領域ですので、この項目以外はむやみに触らないことをおすすめします。
Chrome系(Chrome・Edgeなど)の場合:本体の設定画面からWebRTCを完全に無効化する項目は用意されていないとされます。代わりに、WebRTCの通信経路を制限する拡張機能を使う方法が一般的で、「WebRTC Network Limiter」などが知られています。拡張機能は提供状況や仕様が変わることがあるため、配布元が信頼できるか(提供者名・レビュー・更新日)を確認してから導入してください。
そのほかのブラウザ:Braveは既定でWebRTC経由のIP露出を抑える保護が入っているとされ、Safariも既定では閲覧中のサイト以外へ追加のIPアドレスを開示しにくい設計とされています。ただし、いずれもバージョンによって挙動が変わる可能性があるため、「既定だから大丈夫」と思い込まず、手順6のテストページで実際に確認するのが確実です。
また、VPN事業者によっては、WebRTC対策を含む公式のブラウザ拡張を提供している場合があります。お使いのVPNの公式サイトで提供の有無を確認してみると、ブラウザの設定を直接いじらずに済むかもしれません。
なお、WebRTCリークはブラウザだけの問題とは限りません。端末の通信全体を漏らさずトンネルへ通すタイプのVPN実装では、WebRTCが行う問い合わせもトンネルの中を通るため、結果として実IPが出にくくなるとされています。逆に、手順8の対策をしてもWebRTCテストで実IPが出続ける場合は、VPN側がトンネル外の通信を許してしまっている可能性があるので、手順7のキルスイッチ設定(常時型があればそちら)を見直した上で、それでも変わらなければ次のセクションの「実装上の限界」を疑ってください。
9. OSのIPv6を無効化する(副作用を理解した上での一時的な手段)
手順4の補足で触れたIPv6リークが見つかり、かつVPNアプリにIPv6リーク保護が無い場合の対処です。一部のVPN実装はIPv4の通信だけをトンネルに通すため、IPv6の通信が素通りになることがあるとされます。OS側でIPv6を無効にすれば、この素通りの経路そのものを無くせます。ただし後述の副作用があるため、まずは手順7のIPv6リーク保護(アプリ側の設定)を優先し、それが無い場合の一時的な手段と位置付けてください。
Windowsでの手順は次のとおりです(Windows 11の例です。バージョンやエディションにより表記・配置が異なる場合があります)。
- スタートメニューから「設定」を開き、「ネットワークとインターネット」を選びます。
- 「ネットワークの詳細設定」を開きます。
- 「ネットワーク アダプター オプションの詳細」(環境によっては「アダプターのオプションを変更する」)を選びます。
- 使用中のアダプター(Wi-Fiまたはイーサネット)を右クリックし、「プロパティ」を開きます。
- 一覧から「インターネット プロトコル バージョン 6(TCP/IPv6)」のチェックを外し、「OK」を押します。
- パソコンを再起動し、手順4〜6の3テストをやり直します。
Macでは、アップルメニューから「システム設定」(バージョンによっては「システム環境設定」)→「ネットワーク」を開き、使用中の接続(Wi-Fiなど)の「詳細」にある「TCP/IP」の項目で、「IPv6の設定」を「リンクローカルのみ」などの制限された設定に変更できる場合があります。表示される選択肢や配置はバージョンによって異なるため、見当たらない場合はAppleの公式サポート情報をご確認ください。
そして、ここが重要なのですが、IPv6の無効化には次のような副作用があり得ます。
- 日本の光回線で広く使われているIPoE(IPv4 over IPv6)方式は、IPv6を前提として回線の混雑を避ける接続方式です。OS側でIPv6を無効にすると、この方式による速度・安定性のメリットが失われたり、環境によっては通信が不安定になったりする可能性があります。
- IPv6を前提とするサービスや機器連携で、不具合が出る場合があります。
- OS側でも、IPv6は既定で有効のまま使うことが推奨されているとされます。恒久的にオフにするのではなく、「リークの切り分けのために一時的に無効化し、VPN側の対策が整ったら元に戻す」使い方をおすすめします。
- 会社支給のパソコンや学校の端末では、設定を変更する前に必ず管理者へ確認してください。
ちなみに、DNSリークについては、Windowsに名前解決の問い合わせを複数の経路へ並行して投げる仕組みがあり、これが一因になる場合があるとされています。OS側でこの挙動を細かく制御する方法は上級者向けのため、本記事ではまずVPNアプリのDNS保護(手順7)で対処することを推奨します。
ここまでの設定を変えたのにテスト結果がまったく変わらない、という場合は、対処そのものより先に「設定が反映されているか」を確認してみてください。具体的には次の点です。
- 設定変更後に、VPNをいったん切断して接続し直したか(接続中の変更は次回接続から反映される場合があります)
- ブラウザを開き直したか。可能ならパソコン自体を再起動したか(名前解決の結果は端末内に一時保存されるため、再起動で古い情報がリセットされます)
- 別のブラウザでも同じ結果になるか(特定のブラウザの設定・拡張機能だけが原因のことがあります)
- 別のWi-Fi環境(スマホのテザリングなど)でも同じ結果になるか(ルーターや回線側の要因を切り分けられます)
- VPNアプリの再インストールを試したか(設定ファイルの不整合が解消されることがあります)
これらを確認しても漏れが続く場合に、初めて次のセクションの「実装上の限界」を疑う、という順番で進めると無駄がありません。
設定しても漏れが止まらない場合——仕組み上塞げないケースを知る
手順7〜9をすべて実施してもテスト結果が変わらない場合、頑張りが足りないのではなく、お使いのVPNサービスの実装そのものに限界がある可能性があります。時間を無駄にしないために、「設定では塞げないケース」を知っておきましょう。
10. 自前のDNSを持たないVPNは、設定では塞ぎきれない
DNSリーク保護という機能は、突き詰めると「VPN事業者が自前の(または専用に用意した)DNSサーバーを運用し、名前解決をトンネルの中で完結させる」ことで成立しています。逆に言うと、事業者が自前のDNSを持たず、端末や契約プロバイダのDNS設定をそのまま使う実装のサービスでは、利用者側がどれだけ設定を工夫しても、名前解決の行き先を完全にコントロールすることはできないとされます。
お使いのサービスがどちらのタイプかは、公式サイトの機能一覧やヘルプで「DNSリーク保護」「自社DNSサーバー」「プライベートDNS」といった記載があるかどうかで、ある程度見当が付きます。記載が見当たらず、アプリの設定画面にも該当項目が無い場合は、その機能自体が提供されていない可能性を考えたほうがよいでしょう。
11. 無料VPN・ブラウザ拡張型のVPNで漏れやすい理由
無料VPNのすべてが危険というわけではありませんが、キルスイッチ・DNSリーク保護・IPv6対応といった保護機能は、無料サービスでは省かれている場合が多いとされます。DNSサーバーの自前運用にも、リーク対策の開発にもコストがかかるためで、名前解決を利用者側の環境に任せる実装の無料サービスもあるとされています。「接続はできるがリークは防げない」という状態になりやすいのはこのためです。
また、ブラウザの拡張機能として提供される「VPN」の中には、実際にはブラウザの通信だけを中継するプロキシに近い動作のものがあります。この方式では、ブラウザ以外のアプリの通信やOSレベルの名前解決はそもそも保護の対象外となる場合があり、端末全体の保護を期待して使うと、テストで漏れが見つかることになります。
このほか、ルーターに直接VPNを設定している構成では端末側の設定が及ばない部分がありますし、会社支給端末の管理プロファイルが通信経路に影響しているケース、かなり古い接続方式にしか対応していないサービスを使い続けているケースなども、利用者側の設定だけでは解決しにくいパターンです。
見切りを付ける目安として、次のチェックリストをお使いください。
- アプリの設定画面に、キルスイッチ・DNS保護に相当する項目が見当たらない
- 公式サイトの機能説明に、DNSリーク保護の記載が見つからない
- 設定をすべて有効にして再テストしても、契約プロバイダ名が出続ける
- 運営元の情報やプライバシーポリシーの内容が確認できない
2つ以上当てはまる場合は、設定の工夫を重ねるよりも、サービス自体を見直すほうが早道と考えられます。
DNSリーク保護・キルスイッチを標準搭載したVPNを選ぶという選択肢
最初にお伝えしたいのは、まずお使いのVPNアプリの設定(キルスイッチ・DNS保護)を有効にしてください。ここで塞げた方は乗り換え不要です、ということです。手順7の設定だけでテスト結果が正常になったなら、追加の出費は必要ありません。
その上で、設定項目そのものが存在しない、有効にしても漏れが止まらない、運営元が確認できず不安が残る——という場合には、保護機能を標準搭載したVPNサービスへ乗り換えることが根本的な解決になります。公衆Wi-Fiでの保護やプライバシー確保が目的なら、選ぶ基準は通信速度やサーバー数よりも先に「漏れない設計かどうか」です。

候補を比較するときは、公式サイトの機能一覧で次のポイントを確認してください。
| 確認項目 | 見るべきポイント |
|---|---|
| DNSリーク保護 | 自社運用のDNSサーバーで名前解決が完結する設計か。機能一覧に明記されているか |
| キルスイッチ | 切断時に通信を遮断する機能があるか。方式(切断時のみ・常時)の説明があるか |
| IPv6への対応 | IPv6リーク保護、またはIPv6対応トンネルの記載があるか |
| ログの扱い | ノーログポリシーの具体的な内容。第三者監査の実施が公表されているか |
| 日本語対応 | アプリとサポートが日本語で利用できるか |
| お試し・返金保証 | 自分の環境でリークテストをしてから継続を判断できる期間があるか |
乗り換え先を導入したあとの確認も、この記事の手順がそのまま使えます。おすすめの流れは次のとおりです。
- アプリをインストールしたら、最初に設定画面を開き、キルスイッチ・DNSリーク保護・IPv6リーク保護に相当する項目を有効にします(標準搭載のサービスでも、初期状態でオフの項目がある場合があります)。
- VPNに接続し、手順4〜6の3テスト(IP比較・DNSリークテスト・WebRTCテスト)を実施します。
- 普段使う場所(自宅のWi-Fi・よく行くカフェなど)でも同じテストを行い、環境が変わっても漏れないことを確認します。
- お試し期間や返金保証がある場合は、その期間内に上記の確認を終えて、継続するかどうかを判断します。
「契約してから確認する」のではなく「確認してから契約を確定する」の順番にできることが、お試し期間のあるサービスを選ぶ実利です。なお、機能や料金プランは変更されることがあるため、契約前には必ず公式サイトの最新情報を確認してください。
【PR】
お使いのVPNにDNS保護やキルスイッチが無く、設定では塞げない場合
まずはお使いのVPNアプリの設定(キルスイッチ・DNSリーク保護・IPv6保護)を有効にしてください。ここで塞げた方に、乗り換えは必要ありません。アプリにこれらの機能自体が無い場合(一部の無料VPNなど)は、設定では塞ぎきれないことがあります。その場合の選択肢として、DNSリーク保護やキルスイッチを標準搭載したVPNサービスがあります。機能の有無・料金は変動するため、最新の情報は公式サイトでご確認ください。
【PR】この見出し内のリンクは広告(アフィリエイト)です。
🛒 関連商品をチェック(Amazon・楽天市場)
よくある質問(FAQ)
Q1. DNSリークとは何ですか?
DNS(サイト名からIPアドレスを調べる仕組み)への問い合わせが、VPNの暗号化トンネルを通らずに、契約プロバイダなどVPN外部のDNSサーバーへ流れてしまう状態のことです。VPNに接続していても、「どのサイト名を調べたか」という情報だけがトンネルの外に出てしまうため、プライバシー保護というVPNの目的が一部損なわれます。
Q2. DNSリークが起きると、何が知られてしまうのですか?
漏れるのは主に名前解決の内容、つまり「どのドメイン名にアクセスしようとしたか」という情報です。ページの中身や入力した内容までが見えるわけではなく、HTTPS対応サイトであれば通信内容は暗号化されています。ただし、アクセス先の履歴的な情報からある程度の行動傾向は推測され得るとされるため、通信経路の保護を目的にVPNを使っている方にとっては、対処しておくべき状態と言えます。
Q3. リークの確認では、結果画面のどこを見ればよいですか?
IP確認サイトでは「IPアドレス」と「ISP(組織名)」、DNSリークテストでは表示された各DNSサーバーの「国」と「ISP/組織名」、WebRTCテストでは「Public IP Address」などの欄を見ます。共通の判定基準はシンプルで、VPN接続中にもかかわらず自分の契約プロバイダ名(または接続前と同じIPアドレス)が表示されていたら、その経路から漏れています。
Q4. IPv6を無効化しても大丈夫ですか?
切り分けのための一時的な無効化は有効な手段ですが、副作用があります。日本の光回線で広く使われるIPoE(IPv4 over IPv6)方式の速度・安定性のメリットが失われる可能性があるほか、IPv6を前提とするサービスに影響が出る場合もあります。VPNアプリ側にIPv6リーク保護があればそちらを優先し、OS側での無効化は「一時的に試して、済んだら元に戻す」運用をおすすめします。
Q5. 無料VPNはなぜ漏れやすいと言われるのですか?
DNSサーバーの自前運用・キルスイッチ・IPv6対応といったリーク対策には運用コストがかかるため、無料サービスでは省かれていることが多いとされるからです。すべての無料VPNが該当するわけではありませんが、公式サイトで保護機能の記載を確認できないサービスは、プライバシー保護の用途には向かないと考えられます。導入前に機能一覧を確認し、導入後は必ずリークテストで実測することが大切です。
Q6. キルスイッチとは何ですか?必ず有効にすべきですか?
VPN接続が予期せず切れた瞬間に端末の通信を遮断して、素の回線のまま通信が続いてしまうのを防ぐ機能です。公衆Wi-Fiでの保護を目的にVPNを使うなら、有効にしておく価値の高い機能とされています。ただし、有効中はVPNが切れるとインターネット全体が止まるため、「急に繋がらなくなった」と感じたら、故障を疑う前にVPNの接続状態とキルスイッチの動作を確認してください。
Q7. リークの確認は毎回行うべきですか?
毎回行う必要はありませんが、次のタイミングでは確認しておくと安心です。①VPNを導入・乗り換えた直後、②VPNアプリやOSの大きなアップデートの後、③ホテルやカフェなど新しいWi-Fi環境で重要な作業をする前、の3つです。テスト自体は数分で終わるので、環境が変わったら点検する、という習慣にしておくのがおすすめです。
Q8. スマホ(iPhone・Android)でもDNSリークは起きますか?
起き得ます。確認方法はパソコンと同じで、スマホのブラウザからIP確認サイトやDNSリークテストを開くだけです。対処も同様に、VPNアプリ側の保護機能を有効にするのが基本です。Androidでは、設定アプリのVPNの項目に「常時接続VPN」「VPN以外の接続をブロック」といったキルスイッチに相当する設定が用意されている場合があります(機種・OSバージョンにより名称や場所は異なります)。iPhoneはアプリごとの実装に依存する部分が大きいため、お使いのVPNの公式ヘルプで対応状況をご確認ください。
📚 あわせて読みたい
まとめ
- VPN利用中の「IPが漏れている」は、①グローバルIPそのもの、②DNSクエリ(DNSリーク)、③WebRTC経由の実IP露出、の3経路に分けて考える
- 診断は「接続前後のIP比較→DNSリークテスト→WebRTCテスト」の3ステップ。共通の判定基準は、VPN接続中に契約プロバイダ名や実IPが表示されるかどうか
- 対処の第一歩はVPNアプリの設定で、キルスイッチ・DNSリーク保護・IPv6リーク保護を有効にすること。ブラウザのWebRTC対策とOSのIPv6無効化は、副作用を理解した上で補助的に使う
- IPv6の無効化はIPoE接続の速度メリットに影響し得るため、一時的な切り分け手段にとどめ、済んだら元に戻す
- 自前DNSを持たない実装や保護機能のない無料VPNは、設定では塞ぎきれない場合がある。その場合はDNSリーク保護・キルスイッチを標準搭載したサービスの検討が根本対処になる
VPNは「接続したら終わり」の道具ではなく、「漏れていないことを一度確認して、初めて本来の役割を果たす」道具です。幸い、確認のための3つのテストはいつでも無料で実施できます。今日この記事の手順で一度点検しておけば、次からは環境が変わったときだけ見直せば十分です。落ち着いて1つずつ確認していきましょう。
minto.tech スマホ(iPhone/Android)・パソコン(Windows/Mac)・Office・Wi-Fi・AIツールの「できない」「困った」を解決する実用ガイド。トラブル対処法とノウハウが満載のお助けサイトです。