DNS over HTTPS(DoH)とは?プライバシーを守る次世代DNS通信を徹底解説

「どのサイトを見ているか、誰かに知られたくない…」

実は、従来のインターネット通信では、あなたがどんなWebサイトにアクセスしているか、通信経路上で簡単に覗き見られてしまう可能性があったんです。

その問題を解決するのが、DNS over HTTPS(DoH)という技術です。

DoHは、DNS(ドメイン名からIPアドレスへの変換)の問い合わせを暗号化することで、プライバシーとセキュリティを大幅に向上させる仕組みです。

2018年頃から主要なブラウザが対応を始め、今ではFirefox、Chrome、Edgeなど、多くのブラウザで利用できるようになりました。

この記事では、DoHの基本的な仕組みから、メリット・デメリット、設定方法まで、初心者の方にも分かりやすく解説していきます。

プライバシーに関心がある方、セキュリティを強化したい方は、ぜひ最後まで読んでみてください!

スポンサーリンク

従来のDNSが抱えていた問題点

DNS通信は「丸見え」だった

まず、従来のDNS通信の問題を理解しておきましょう。

普通にWebサイトを見るとき、裏側ではこんな通信が行われています:

  1. あなたのパソコンがDNSサーバーに「example.comのIPアドレスを教えて」と問い合わせる
  2. DNSサーバーが「example.comは93.184.216.34ですよ」と答える
  3. そのIPアドレスを使って実際にWebサイトにアクセス

問題は、この1番目と2番目のやり取りが暗号化されていないことです。

誰が覗き見できるのか

暗号化されていないDNS通信は、以下のような人たちに見られる可能性があります:

インターネットサービスプロバイダー(ISP):
あなたの通信を中継している通信事業者は、どのドメイン名を問い合わせているか分かります。

公衆Wi-Fiの管理者:
カフェや空港のWi-Fiを使っている場合、そのネットワークの管理者が見ることができます。

ネットワーク上の攻撃者:
同じネットワーク内にいる悪意のある第三者が、パケットを傍受できる可能性があります。

何が分かってしまうのか

DNS通信から分かる情報は、意外と多いんです:

  • どのWebサイトを訪問したか
  • いつアクセスしたか
  • どのくらいの頻度でアクセスしているか

「でも、HTTPSを使えば内容は暗号化されるのでは?」と思うかもしれません。

確かに、Webサイトの内容自体は暗号化されます。
しかし、どのサイトにアクセスしたかという情報は、DNS問い合わせの段階で漏れてしまうんですね。

DNS over HTTPS(DoH)の基本的な仕組み

HTTPSでDNS通信を包む

DoHは、DNS問い合わせをHTTPSプロトコルで暗号化して送信する技術です。

HTTPSは、Webサイトを安全に閲覧するための暗号化プロトコル(鍵マークが表示されるアレです)。

このHTTPSの仕組みを使って、DNS問い合わせも暗号化してしまおう、というのがDoHのアイデアなんです。

通常のWebトラフィックに紛れ込む

DoHの優れた点は、DNS通信が普通のHTTPS通信と見分けがつかないことです。

従来のDNSは専用のポート(53番)を使うため、「あ、これはDNS通信だな」とすぐに分かりました。

一方、DoHはHTTPSと同じポート(443番)を使います。
そのため、外から見ると普通のWebアクセスと区別できないんですね。

DoHの通信の流れ

DoHを使った場合の通信は、こんな感じになります:

  1. ブラウザが「example.comのIPアドレスを教えて」というDNS問い合わせを作成
  2. その問い合わせをHTTPSで暗号化
  3. DoH対応のDNSサーバー(DoHリゾルバ)に送信
  4. サーバーが暗号化された応答を返す
  5. ブラウザが応答を復号化してIPアドレスを取得

すべての通信が暗号化されているため、途中経路で誰かが覗き見ようとしても、中身は読み取れません。

DoHのメリット:プライバシーとセキュリティの向上

プライバシー保護の強化

DoHの最大のメリットは、プライバシーの保護です。

DNS通信が暗号化されることで:

  • ISPに閲覧履歴を把握されにくくなる
  • 公衆Wi-Fiでも安心して利用できる
  • 広告会社によるトラッキングが難しくなる

あなたがどのサイトを訪問しているか、簡単には分からなくなるわけですね。

DNS spoofing(偽装)への対策

従来のDNSでは、DNS spoofingという攻撃が可能でした。

これは、DNS応答を偽装して、ユーザーを偽のWebサイトに誘導する攻撃手法です。

DoHでは通信が暗号化され、さらにHTTPSの証明書で通信相手を確認するため、このような攻撃が非常に困難になります。

検閲の回避

一部の国や地域では、特定のWebサイトへのアクセスがDNSレベルでブロックされています。

DoHを使えば、DNS通信が暗号化されているため、このようなDNSベースの検閲を回避できる可能性があります。

ただし、VPNほど強力な回避手段ではありません。

中間者攻撃への耐性

公衆Wi-Fiなどで問題になる中間者攻撃に対しても、DoHは効果的です。

攻撃者がネットワーク上でDNS通信を傍受・改ざんしようとしても、暗号化されているため内容を変更できません。

DNS over TLS(DoT)との違い

DoHと似た技術に、DNS over TLS(DoT)というものがあります。

両者の共通点

どちらも:

  • DNS通信を暗号化する
  • プライバシーとセキュリティを向上させる
  • TLS(Transport Layer Security)という暗号化技術を使用

基本的な目的は同じです。

主な違いは「使うポート」と「見た目」

DNS over TLS(DoT):

  • 専用のポート(853番)を使用
  • DNSに特化した通信であることが分かる
  • シンプルな実装

DNS over HTTPS(DoH):

  • HTTPSと同じポート(443番)を使用
  • 普通のWeb通信に見える
  • 既存のHTTPSインフラを活用できる

どちらが優れているのか

技術的には、どちらも同程度の安全性を提供します。

DoTの利点:

  • 企業や学校などで、DNSトラフィックを識別・管理しやすい
  • オーバーヘッド(余分な処理)が少ない
  • ネットワーク管理者による制御が可能

DoHの利点:

  • ファイアウォールでブロックされにくい(普通のHTTPSに見えるため)
  • ブラウザレベルで簡単に実装できる
  • より強力な検閲回避が可能

用途や環境に応じて、使い分けるのが理想的ですね。

DoH対応のDNSサービス

DoHを使うには、DoHに対応したDNSサーバーが必要です。

主なパブリックDoHサービス

Cloudflare(1.1.1.1):

https://cloudflare-dns.com/dns-query

プライバシー重視で、ログを保存しないポリシーを掲げています。

Google Public DNS(8.8.8.8):

https://dns.google/dns-query

Googleが提供する無料のDNSサービスです。

Quad9(9.9.9.9):

https://dns.quad9.net/dns-query

セキュリティに特化し、マルウェアやフィッシングサイトをブロックします。

NextDNS:

https://dns.nextdns.io

カスタマイズ可能な高機能サービスで、広告ブロックなども設定できます。

これらのサービスは、基本的に無料で利用できます。

ブラウザでのDoH設定方法

主要ブラウザは、すでにDoHに対応しています。

Mozilla Firefoxの設定

Firefoxは、DoHを積極的に推進しているブラウザです。

設定手順:

  1. 設定画面を開く
  2. 「プライバシーとセキュリティ」を選択
  3. 「DNS over HTTPSを有効にする」をチェック
  4. 使用するDNSプロバイダーを選択

アメリカなど一部の地域では、デフォルトで有効になっています。

Google Chromeの設定

設定手順:

  1. 設定画面を開く
  2. 「プライバシーとセキュリティ」を選択
  3. 「セキュリティ」をクリック
  4. 「安全なDNSを使用する」をオンにする
  5. プロバイダーを選択するか、カスタムDNSサーバーを指定

Chromeは、使用しているDNSサーバーがDoHに対応していれば、自動的にDoHを使う仕組みになっています。

Microsoft Edgeの設定

EdgeはChromiumベースなので、設定方法はChromeとほぼ同じです。

設定手順:

  1. 設定画面を開く
  2. 「プライバシー、検索、サービス」を選択
  3. 「セキュリティ」セクションまでスクロール
  4. 「セキュリティで保護されたDNSを使用して、Webアドレスを検索する方法を指定します」をオンにする

Safariの状況

残念ながら、macOSやiOSのSafariは、2025年1月時点ではDoHに公式対応していません。

ただし、システムレベルでDoHを設定することは可能です(後述)。

OSレベルでのDoH設定

ブラウザだけでなく、OS全体でDoHを有効にすることもできます。

Windows 11でのDoH設定

Windows 11は、標準でDoHをサポートしています。

設定手順:

  1. 設定を開く
  2. 「ネットワークとインターネット」を選択
  3. 使用しているネットワーク接続をクリック
  4. 「DNSサーバーの割り当て」の「編集」をクリック
  5. DoH対応のDNSサーバー(例:1.1.1.1)を入力
  6. 暗号化を「暗号化優先」または「暗号化のみ」に設定

macOSでの設定

macOSは、構成プロファイルを使ってDoHを設定できます。

CloudflareやNextDNSなどが、簡単にインストールできる構成プロファイルを提供しています。

Android・iOSでの設定

Android 9以降:
「プライベートDNS」機能を使って、DoT(DNS over TLS)を設定できます。
残念ながら、標準機能ではDoHに対応していません。

iOS 14以降:
構成プロファイルをインストールすることで、DoHを有効にできます。

DoHのデメリットと懸念点

メリットが多いDoHですが、いくつかの問題点も指摘されています。

企業ネットワークでの管理が困難

企業や学校では、セキュリティやコンプライアンスのため、DNSトラフィックを監視・フィルタリングすることがあります。

DoHを使われると:

  • どのサイトにアクセスしているか把握できない
  • 既存のセキュリティフィルタが機能しない
  • マルウェアの通信を検知できない可能性

このため、企業のIT部門からは反対の声も上がっています。

ペアレンタルコントロールの無効化

家庭で子どもの閲覧制限を設定している場合も、DoHが問題になることがあります。

多くのペアレンタルコントロールはDNSベースで動作するため、DoHを使われると機能しなくなってしまうんです。

DNSサーバーへの依存

DoHを使う場合、特定のDNSプロバイダー(CloudflareやGoogleなど)に依存することになります。

これは、ある意味でプライバシーのリスクにもなり得ます:

  • そのDNSプロバイダーは、あなたの閲覧履歴をすべて把握できる
  • プライバシーポリシーが変更される可能性がある
  • サービスが停止すると影響を受ける

パフォーマンスへの影響

DoHは、暗号化と復号化の処理が必要なため、わずかですが速度低下の可能性があります。

ただし、現代のハードウェアでは、ほとんど体感できないレベルです。

逆に、DoH対応の高速なDNSサーバーを使えば、従来より速くなることもあります。

DoHの仕様と技術的な詳細

RFC 8484で標準化

DoHは、RFC 8484という技術標準で定義されています。

これにより、異なるベンダーの製品間でも互換性が保たれているんです。

使用するプロトコル

DoHは、以下の技術を組み合わせています:

HTTP/2またはHTTP/3:
最新のHTTPプロトコルを使用します。

TLS 1.2以上:
強力な暗号化を提供します。

DNSメッセージのエンコード:
従来のDNSメッセージをHTTPSに乗せるための変換を行います。

2つのメソッド

DoHには、2種類の問い合わせ方法があります:

GETメソッド:
DNS問い合わせをURLパラメータとして送信します。

https://dns.example.com/dns-query?dns=...

POSTメソッド:
DNS問い合わせをHTTPのボディ部分に含めて送信します。

POSTメソッドの方が、より複雑な問い合わせに対応できます。

DoHの普及状況と今後の展望

ブラウザでの採用が進む

2018年にMozilla Firefoxが最初に実装して以来、主要ブラウザのほとんどがDoHに対応しました。

対応ブラウザ:

  • Mozilla Firefox(2018年~)
  • Google Chrome(2019年~)
  • Microsoft Edge(2020年~)
  • Opera(2020年~)
  • Brave(対応済み)

これにより、数億人のユーザーがDoHを利用できる環境が整っています。

ISPやネットワーク機器の対応

一部のISPやルーターメーカーも、DoHへの対応を進めています。

ルーターでのDoH対応:
最新の家庭用ルーターには、DoH機能が搭載され始めています。
ルーターレベルで設定すれば、接続する全デバイスでDoHを利用できるんです。

課題と議論

DoHの普及には、まだ議論が残っています:

プライバシー vs セキュリティ:
個人のプライバシーと、企業・組織のセキュリティ管理のバランスをどう取るか。

DNSの分散化:
少数の大手DoHプロバイダーに集中すると、逆にリスクになる可能性がある。

標準化の推進:
DoHとDoTのどちらを主流にするか、まだ決着がついていない。

DoHを使うべき?判断基準

こんな人にはDoHがおすすめ

プライバシーを重視する方:
閲覧履歴を他者に知られたくない場合、DoHは有効です。

公衆Wi-Fiをよく使う方:
カフェや空港などでインターネットを使う機会が多いなら、DoHでセキュリティを強化できます。

検閲のある地域にいる方:
一部の国では、DNSレベルでのアクセス制限があります。DoHは、これを回避する手段の一つです。

こんな場合は注意が必要

企業・学校のネットワークを使う方:
組織のセキュリティポリシーに違反する可能性があります。使用前に確認しましょう。

ペアレンタルコントロールを使っている方:
子どもの閲覧制限が機能しなくなる可能性があります。

高度なネットワーク管理が必要な方:
自宅やオフィスで細かいネットワーク制御をしている場合、DoHが干渉する可能性があります。

まとめ:プライバシー保護の新しいスタンダード

DNS over HTTPS(DoH)は、DNS通信を暗号化することで、プライバシーとセキュリティを大幅に向上させる技術です。

この記事の重要ポイントをおさらいしましょう:

  • DoHはDNS問い合わせをHTTPSで暗号化する技術
  • 従来のDNSは暗号化されておらず、閲覧履歴が漏洩するリスクがあった
  • ISPや攻撃者からプライバシーを守る効果がある
  • DNS over TLS(DoT)という類似技術も存在する
  • 主要ブラウザ(Firefox、Chrome、Edge)がすでに対応
  • 企業ネットワークでの管理が難しくなるというデメリットもある
  • Cloudflare、Google、Quad9などのパブリックDoHサービスが利用可能
  • ブラウザやOSレベルで簡単に設定できる

インターネットのプライバシー保護は、ますます重要なテーマになっています。

DoHは、その実現のための重要な技術の一つなんです。

ただし、万能ではありません。
完全なプライバシーを求めるなら、VPNやTorなどの他の技術と組み合わせる必要があります。

自分の利用環境や目的に合わせて、DoHを活用してみてください。

あなたのネット閲覧が、少しでも安全でプライベートになれば幸いです!

Youtube

神話・歴史・伝承の解説チャンネル

スポンサーリンク

コメント

タイトルとURLをコピーしました