インターネットの利用に欠かせないDNS(Domain Name Sysytem)は我々がウェブサイトにアクセスする上で重要な役割を果たしています。
しかし、通常のDNSは平文によって通信されており様々なセキュリティ上のリスクを孕んでいます。
本記事ではDNSの基本的な仕組みからその問題点とそしてセキュアなDNSであるDoH(DNS over HTTPS)について詳しく解説します。
DNSとは
DNS(Domain Name System)は、インターネット上のドメイン名をIPアドレスに変換するシステムです。例えば、”tech-life-media.com”というドメイン名を入力すると、DNSがそのドメイン名を対応するIPアドレス(例: 183.90.181.10X)に変換し、ウェブサイトにアクセスできるようにします。
この変換がなければ、ユーザーはウェブサイトにアクセスする際にIPアドレスを直接入力しなければならず、非常に不便です。
DNSについては以下の記事でさらに詳細について説明しているので、興味がある方はぜひ参考にしてください。
通常のDNSの問題点
一般的に使用されるDNSの通信は、暗号化のされていない状態「平文」でやり取りを行うため以下のようなセキュリティ上の問題があります。
- 盗聴のリスク: 通信が暗号化されていないため、悪意のある第三者に通信内容を盗聴される可能性があります。(スニフィッング)や(傍受)
- 改竄のリスク: DNSレスポンスが改竄され、ユーザーが意図しないサイトに誘導される可能性があります。(DNSスプーフィング)や(DNSキャッシュポイズニング)
これらの大きな問題を解決するために、DNS通信のセキュリティを強化する技術が求められています。
DoH(DNS over HTTPS)とは
DNS over HTTPS(以下、DoH)は、インターネットの安全性を高めるための技術のひとつです。DoHは、DNSリクエストをHTTPS、つまりHTTP Secureを通じて行う技術であり、これにより、ユーザーのインターネット通信が保護されます。
類似する技術にDNS Over TLS(以下、DoT)と言う技術もありますが便宜上、今回は
DoHのみに焦点を当てて解説します。
DoHは安全なインターネット通信を行うための手段として開発された技術で、主にDNSリクエストの盗聴防止と改ざん防止を目的としています。
使用するには、ブラウザーもしくはOS(オペレーティングシステム)と接続するDNSリゾルバ(キャッシュDNSサーバー)がDoHに対応している必要があります。
HTTPSとの関連性
HTTPSとは「Hypertext Transfer Protocol Secure」略でHTTP通信「ハイパーテキスト」通信にSecure suite「セキュア」プロトコル層によるSSL/TLS公開鍵認証層を重ねることで通信内容を暗号化する通信方式です。
DoHはDNSのクエリ通信をHTTPS通信に置き換える(Over)ことでクエリパラメータや回答内容を暗号化することで盗聴を防ぐことができるのが一番の特徴です。
DoHが必要とされる背景
DoHの対応技術は新しいものではありませんが、最近になって注目されるようになった背景には、個人情報の流出事故やサイバー攻撃の増加があります。
ユーザーのインターネットの使用状況が広範に渡るようになり、その一方でサイバー攻撃も巧妙化してきています。その結果、従来のセキュリティ対策では不十分となり、新たな対策が求められるようになりました。
その回答の一つとして現れたのがDoHで、これによりユーザーのプライバシーとセキュリティをより強固に保護することが可能になりました。これらの理由から、DoHは現代のインターネット環境において重要な技術となっています。
DoHの特長とそのメリット
DoHの基本的な特長
DoH(DNS over HTTPS)は、その名の通りDNSリクエストをHTTPSプロトコルを通じて行う技術です。これにより、DNSリクエストが暗号化され、外部からの盗聴や改ざんを防ぐことが可能となります。
また、DoHは、インターネットの安全性を高めるための重要な技術であると同時に、ユーザーのプライバシーを保護するという目的も果たしています。
Windows10以降DoHが標準でサポートされているためDNSリゾルバ(キャッシュDNS)サーバーがDoHによる暗号化通信に対応していれば簡単な操作で有効にすることができます。
一例として以下にCloudflareの1.1.1.1を用いた設定方法をリンクしておきます。
プライバシー保護の強化
DoHの最大の利点は、DNSリクエストの暗号化によるプライバシー保護の強化です。従来のDNSリクエストは平文で行われていたため、第三者による盗聴やデータの取得が容易でした。
しかし、DoHを使用すると、このような脅威からユーザーのプライバシーを保護することができます。これにより、個人情報の漏洩や悪意のある広告への誘導を防ぐことが可能となります。
インターネットを安心して使用できる環境の提供は、現代社会における重要な課題の一つであり、DoHはそれを解決できる技術といえるでしょう。
セキュリティの向上
また、DoHはインターネットの安全性を向上させる役割も果たしています。DNSリクエストの暗号化により、悪意のある攻撃者がDNSリクエストを盗聴することが困難になります。
これは、スニフィッングのような攻撃からユーザーを守ります。スニフィッングは、攻撃者が接続者の通信を傍受することで接続元を特定したり、対象に侵入してバックドア(裏口)を仕込む攻撃手段です。
しかし、DoHを使用すると、このような攻撃から身を守ることができます。
DoHのデメリット
DoHはインターネットの安全性を高める活力がある技術ですが、利用にあたっては一部の問題が指摘されています。
改ざんの防止にはならない
一方、DoHだけでは、DNSクエリ―の回答結果に偽の情報を流し込む改ざん攻撃
「DNSキャッシュポイズニング」を防ぐことはできません。
あくまでもDoHはクライアントとDNSキャッシュサーバー間の通信を暗号化する手段でしかなく、ドメインのアドレス情報を記録するコンテンツDNSの回答とキャッシュサーバーの回答を検証するには「DNSSEC」と呼ばれる別の技術が必要になります。
ペアレンタルコントロールへの影響
DoHの一つのデメリットは、その特性からペアレンタルコントロールへの影響が挙げられます。DoHを採用することで、DNSリクエストと他のHTTPS通信が区別しにくくなる結果となり、これが一部のペアレンタルコントロールの機能に影響を及ぼします。
例えば、一部のペアレンタルコントロールはDNSクエリを検査して不適切なサイトへのアクセスを制限する機能を持っています。しかし、DoHが導入されると、このような管理は果たしにくくなります。
そのため、子供のネット利用管理をする上で注意が必要になります。
広告ブロッキングへの影響
DoHはまた、広告ブロッカーの機能にも影響を及ぼす可能性があります。広告ブロッカーは多くの場合、広告のURLをブロックするためにDNSリクエストを使用しています。
DoHの採用によりDNSリクエストの内容が暗号化されるため、広告ブロッカーが実質的に機能しなくなる恐れがあるという指摘が出されています。
これはユーザー体験に影響を及ぼすかもしれませんので、必要に応じて対策を検討する必要があります。
パフォーマンスへの影響
DoHはDNSリクエストをHTTPS経由で行うため、一部のユーザーはパフォーマンスの遅延を体験する可能性があります。これは特にネットワークが混雑している場合や、サーバーが遠距離にある場合に顕著です。
ただし、DoHプロバイダーごとの性能によりますので、使用するDoHプロバイダーの選択がカギとなります。
保護は重要ですが、ユーザーエクスペリエンスの犠牲になってはならないという認識を持つことが重要です。
これを解決する方法にDNS Over QUICと呼ばれるプロトコルを活用することもできます。
詳しくは以下で解説します。
セキュリティリスクの完全解消はされていない
DoHはセキュリティを強化するための手段の一つですが、全てのインターネット上のリスクを排除するものではありません。
DoHは接続先のドメイン名のリクエストを守りますが、これはデータ自体ではなく、データの目的地に関する情報です。従って、データ自体のセキュリティリスクに対しては無力です。
そのため、DoHを使用しながらも他のセキュリティ対策を怠ると、データ漏えいのリスクは依然として存在します。ユーザーはDoHだけに依存せず、最適なセキュリティ環境を維持するためにも、さまざまな対策を複合的に行うべきです
DoHを実現するテクノロジー
DoHでは、インターネット通信の際にDNSリクエストの内容を暗号化し、ユーザーのプライバシーを守るための重要な技術が用いられています。以下ではその主なテクノロジーの一部を詳しく見ていきます。
HTTPS通信との組み合わせ
DoHはDNSリクエストをHTTPS通信を経由して送信します。HTTPSはセキュリティ通信のためのプロトコルであり、情報を暗号化してネットワークを通じて送信することで、情報の盗聴や改ざんを防ぐことができます。
従来のDNSリクエストは平文で行われていましたが、DoHによりDNSリクエストもHTTPS通信を用いた暗号化が可能となりました。これにより、DNSリクエストのプライバシーが保護されます。
Windows10以降DoHが標準でサポートされているためDNSリゾルバ(キャッシュDNS)サーバーがDoHによる暗号化通信に対応していれば簡単な操作で有効にすることができます。
サーバと証明書の有効性検証
DoHでは、サーバとクライアント間で認証が行われます。これにより、クライアントが接続を試みるサーバが正当なものであることを確認でき、DNSリクエストのなりすましを防ぐことができます。
この認証プロセスはHTTPS通信の一部として実現されています。HTTPS通信ではデジタル証明書を用いて認証を行います。デジタル証明書は信頼できる第三者機関によって発行され、サーバの正当性を保証します。
サーバが正当な証明書を提供できない場合、ブラウザは通信を拒否します。
これにより、DNSリクエストのなりすまし攻撃を有効に防ぐことが可能となります。
クライアント認証が行われるのではなく認証発行局による有効性の連鎖を
検証するチェインオブトラスト(信頼の連鎖)の検証が行われます
DNSリクエストの暗号化
DoHの最も重要な特徴の一つがDNSリクエストの暗号化です。DNSリクエストを暗号化することで、ユーザーのWeb閲覧履歴などの情報を保護することが可能です。
暗号化の結果、DNSリクエストの内容を盗聴することは非常に困難になります。
しかし、すべてのインターネット通信を暗号化するわけではないため、他のセキュリティ対策と併用することが重要です。特に、不正なWebサイトからのダウンロードなどに対する警戒は引き続き必要です。
セキュリティリスク軽減
DoHはDNSリクエストのセキュリティリスクを軽減するための重要な技術です。具体的には、DNSリクエストの情報盗聴を防止します。
「DNSSEC」を併用することでダメなDNSサーバが悪意のあるWebサイトにユーザーを誘導するDNSキャッシュポイズニングなどの攻撃からユーザーを守ることがます。
しかし、DoHはすべてのセキュリティリスクを排除するわけではありません。DoHは主にDNSリクエストのセキュリティを向上させますが、ユーザー自身が不適切なWebサイトにアクセスしたり、マルウェアをダウンロードしたりするリスクは依然として存在します。
DoHの今後の展望と可能性
DoHは今後さらなる技術進化とともに、その利用範囲と価値が拡大すると予想されています。この章では、新しいセキュリティ対策の発展、他の技術との組み合わせ可能性、利用範囲の拡大、そしてDoHを一層効果的に活用するための示唆について詳細に説明します。
今後のセキュリティ対策の発展
DoHは、インターネット通信のセキュリティを改善する重要な手段ですが、その導入はまだ始まったばかりです。これからのセキュリティ対策の発展は、圧倒的なパートナーシップの形成や、より進化した暗号化技術の適用などが期待されています。
更なるパートナーシップによる推進も見込まれています。大手ISPやソフトウェア開発企業が積極的に参加し、DoHの普及と効果的な導入をサポートすることが重要です。
また、より強力な暗号化技術が導入されることによって、DoHのセキュリティ水準は大きく向上します。これにより、ユーザーのプライバシー保護のさらなる強化が実現可能になります。
利用範囲の拡大
DoHの利用範囲も今後さらに広がると予想されています。コンピューターに限定されたりと
対応するハードウェアやシステムが少ないですがスマートフォンなどのモバイル端末にも
対応が広がることは間違いないでしょう。
ISPや回線提供事業者各社のDNSリゾルバがDoHに対応すれば、より複雑な設定を行わずともDNSセキュリティを強化することが容易になると言えます。
更に、全世界的なインターネット接続の普及に伴い、DoHの利用領域は様々な国や地域に広がっていくだろうと予想されています
「広告収入で安定収入を得たい!」「自分のブログやサイトで稼ぎたい!」
そんな夢を叶えるためのヒントが、このブログには詰まっています。
広告掲載の基礎知識から、収益を上げる方法、さらには読者やユーザーとの共感を呼ぶコンテンツ作成まで。実践的なノウハウを元に、あなたのブログやサイトを収益化に導きます。
