【TechTok 第4弾】DNSフィルタリングとDNSプライバシーに関する基本を解説
DNSとDNSフィルタリングの仕組みが分かったところで、DNS接続を安全かつプライベートに保つ方法についてお話しましょう。xiulouさんからのシンプルな質問が、この会話のきっかけとなります。
「DNScryptプロトコルについてどう思いますか?」
悪意のある第三者がなりすましや改ざんを行えないよう、通常のウェブトラフィックを保護する必要があるのと同様に、DNSトラフィックも保護する必要があります。 DNSCrypt は、DNSクエリを暗号化して監視から保護する試みとして、最も初期に行われたものの1つです。 当時は、DNSプライバシーにおける重大な進歩でしたが、その理由は主に代替手段が事実上存在しなかったためです。DNSCryptは現在でも存在しています(AdGuard DNSは現在でもサポートしています)が、DNS-over-HTTPSやDNS-over-TLSのようなより近代的なプロトコルに長らく追い越され、影が薄くなってしまいました。
それらについて、Dmitryが問い合わせてきました。
「DNS-over-TLSとDNS-over-HTTPSの仕組みについて、初心者向けに説明してください。」
DNSCryptは、DNS暗号化プロトコルの先駆者であるにもかかわらず、現在では暗号化されたDNSリクエスト全体の10%未満しか占めていません。 それよりもはるかに普及しているプロトコルはDNS-over-TLS(DoT)と、特にDNS-over-HTTPS(DoH)で、この2つを合わせると暗号化されたDNSトラフィックの90%近くを占めています。 それでは、これらの仕組みについて少し掘り下げてみましょう。
暗号化されていないDNSでは、ブラウザが接続先のウェブサイトのIPアドレスを要求すると、そのウェブサイトのドメイン名とともに、その要求が平文でDNSサーバーに送信されます。つまり、DNSトラフィックを「傍受」する者は誰でも、何の障害もなく、あなたが訪問しようとしているすべてのウェブサイトを簡単に確認できてしまうのです。これはまったくプライベートではありません。
DoHでは、DNS通信はHTTPSで暗号化されます。これは、ウェブ上で広く使用されている安全なプロトコルとして知られています(ブラウザのアドレスバーの横にある緑色の鍵のアイコンを想像してください)。ブラウザがDoH経由で送信するすべてのDNSクエリは、HTTPSリクエスト内に「ラップ」されることで暗号化されます。これにより、単に保護が提供されるだけでなく、外部の観察者にとっては、DNSトラフィックが通常のHTTPSトラフィックのように見えるようになります。これにより、DNSクエリであることすら認識されず、ましてやその中身を覗かれることもないでしょう。
DoTはDoHとは少し異なる方法で動作します。TLSセキュリティプロトコルを使用して、お客様のブラウザとDNSサーバーの間に直接的な安全なトンネルを作成し、そのトンネルを介してDNSクエリが双方向に通信します。これにより、DNSトラフィックは安全になりますが、通常のHTTPSトラフィックと容易に区別できるため、監視している人にとっては検出がはるかに容易になります。全体として、両方のプロトコルはセキュリティを提供しますが、その方法は異なり、それぞれに用途があります。
DNS関連の質問はまだ他にもありますが、すべての回答を1つの記事にまとめることは不可能です。DNSフィルタリングとDNSプライバシーについては、また後日取り上げる予定です。DNSやその他のトピックに関するご質問は、こちらのフォームから引き続きお寄せください。次回のTechTok版で、すでに回答をご覧いただけるかもしれません!*
それでは、DNSフィルタリングと通常のフィルタリングを比較してみましょう。主な欠点は明らかです。DNSフィルタリングでは、ドメイン全体をブロックすることしかできません。より微妙なウェブフィルタリングの巧妙さには欠けているため、特定のリクエストをブロックしたり、広告をブロックした後にページをより良く見せるための「化粧直し」ルールを適用したり、その他にも多くのことができません。DNSブロッキングのほぼすべての欠点は、この何らかの形で生じる機能不全に起因しており、総じて「柔軟性の低いフィルタリング」と表現することができます。しかし、利点についてはどうでしょうか?
まず何よりも、インターネットに接続されたほぼすべてのデバイス(スマートフォンやタブレット、スマートテレビ、スマート家電など)に簡単に設定できるという点が挙げられます。ウェブフィルタリングを行うにはブラウザ拡張機能やスタンドアローンの広告ブロックアプリが必要ですが、DNSフィルタリングではルーターの設定で文字通り1行のテキストを変更するだけで、ご家庭のWi-Fiに接続されたすべてのデバイスが広告やトラッカーから保護されます。
DNSフィルタリングのもう一つの明確な利点は、可能な限り早い段階で適用されるため、特にバッテリーや通信量の消費が懸念されるモバイルデバイスでは、広告をブロックし、トラッキングを防止する最も効率的な方法であるということです。
まとめると、レニーさんの最後の質問の答えになりますが、理想的には、両方に対応しているすべてのデバイスで、ネットワークフィルタリングをDNSフィルタリングで補いたいものです。両者は互いに補完し合うものであり、特に追跡から身を守るという点で有効です。選択を迫られた場合、また、お使いのデバイスが対応している場合は、通常のウェブフィルタリングを選択してください。より柔軟性があり、全体的な体験が向上します。ルーターやスマートテレビなどのデバイスでは、DNS保護が唯一の選択肢となる可能性があるため、DNS保護を選択してください。
DNSとDNSフィルタリングの仕組みが分かったところで、DNS接続を安全かつプライベートに保つ方法についてお話しましょう。xiulouさんからのシンプルな質問が、この会話のきっかけとなります。
「DNScryptプロトコルについてどう思いますか?」
悪意のある第三者がなりすましや改ざんを行えないよう、通常のウェブトラフィックを保護する必要があるのと同様に、DNSトラフィックも保護する必要があります。 DNSCrypt は、DNSクエリを暗号化して監視から保護する試みとして、最も初期に行われたものの1つです。 当時は、DNSプライバシーにおける重大な進歩でしたが、その理由は主に代替手段が事実上存在しなかったためです。DNSCryptは現在でも存在しています(AdGuard DNSは現在でもサポートしています)が、DNS-over-HTTPSやDNS-over-TLSのようなより近代的なプロトコルに長らく追い越され、影が薄くなってしまいました。
それらについて、Dmitryが問い合わせてきました。
「DNS-over-TLSとDNS-over-HTTPSの仕組みについて、初心者向けに説明してください。」
DNSCryptは、DNS暗号化プロトコルの先駆者であるにもかかわらず、現在では暗号化されたDNSリクエスト全体の10%未満しか占めていません。 それよりもはるかに普及しているプロトコルはDNS-over-TLS(DoT)と、特にDNS-over-HTTPS(DoH)で、この2つを合わせると暗号化されたDNSトラフィックの90%近くを占めています。 それでは、これらの仕組みについて少し掘り下げてみましょう。
暗号化されていないDNSでは、ブラウザが接続先のウェブサイトのIPアドレスを要求すると、そのウェブサイトのドメイン名とともに、その要求が平文でDNSサーバーに送信されます。つまり、DNSトラフィックを「傍受」する者は誰でも、何の障害もなく、あなたが訪問しようとしているすべてのウェブサイトを簡単に確認できてしまうのです。これはまったくプライベートではありません。
DoHでは、DNS通信はHTTPSで暗号化されます。これは、ウェブ上で広く使用されている安全なプロトコルとして知られています(ブラウザのアドレスバーの横にある緑色の鍵のアイコンを想像してください)。ブラウザがDoH経由で送信するすべてのDNSクエリは、HTTPSリクエスト内に「ラップ」されることで暗号化されます。これにより、単に保護が提供されるだけでなく、外部の観察者にとっては、DNSトラフィックが通常のHTTPSトラフィックのように見えるようになります。これにより、DNSクエリであることすら認識されず、ましてやその中身を覗かれることもないでしょう。
DoTはDoHとは少し異なる方法で動作します。TLSセキュリティプロトコルを使用して、お客様のブラウザとDNSサーバーの間に直接的な安全なトンネルを作成し、そのトンネルを介してDNSクエリが双方向に通信します。これにより、DNSトラフィックは安全になりますが、通常のHTTPSトラフィックと容易に区別できるため、監視している人にとっては検出がはるかに容易になります。全体として、両方のプロトコルはセキュリティを提供しますが、その方法は異なり、それぞれに用途があります。
DNS関連の質問はまだ他にもありますが、すべての回答を1つの記事にまとめることは不可能です。DNSフィルタリングとDNSプライバシーについては、また後日取り上げる予定です。DNSやその他のトピックに関するご質問は、こちらのフォームから引き続きお寄せください。次回のTechTok版で、すでに回答をご覧いただけるかもしれません!*
