VPNを使用する場合(当社の WindowsにおけるVPNの技術サポートネットワーク設定を頻繁にいじる人なら、次のようなオプションを見たことがあるでしょう。 プロバイダ固有のDNS、統合された名前解決、GoogleやCloudflareのパブリックDNS、Handshake、またはPi-holeのようなカスタムDNS一見すると単なる設定項目のように思えますが、DNSサーバーの選択は、プライバシー、セキュリティ、パフォーマンス、さらにはアクセスできるウェブサイトにまで重大な影響を与えます。
日常的な使用においては、通常、設定はそのままにしておきます。 ISPまたはVPNプロバイダーのDNSは既に稼働していますしかし、カスタムDNSに切り替える(例えば、自宅にPi-holeを設置したり、Control-Dのようなサービスを利用したりする)ことで、ブラウジングをより細かく制御できるようになりますが、それには一定のリスクと責任が伴います。DNSの仕組みと、それぞれの選択肢のメリット・デメリットを理解しておくことは重要です。
DNSとは何か、そしてなぜそれほど重要なのか?
ドメインネームシステム(DNS)は、インターネットの「電話帳」のようなものです。これは、人間が読みやすいアドレス(xataka.comやkaspersky.comなど)を、コンピュータが理解できる数値のIPアドレスに変換します。この自動変換がなければ、ドメイン名を入力してインターネットを閲覧することはできず、各ウェブサイトごとに長い数字を覚えなければなりません。
インターネットサービスプロバイダ(ISP)は通常、ルーターを提供します。 オペレーター自身が管理する事前設定済みのDNSサーバーウェブアドレスを入力するたびに、デバイスはDNSサーバーに問い合わせて対応するIPアドレスを検索します。これはウェブサイトの読み込みに不可欠であるだけでなく、誰があなたの検索クエリを閲覧できるか、そして誰がそれらのリクエストをブロックまたは操作できるかを決定する上でも重要です。
名前解決プロセスには、いくつかの種類のサーバーが関わっています。 クエリを受け取る再帰ソルバールートサーバー、トップレベルドメイン(TLD)サーバー(.comや.netなど)、および権威ドメインサーバーは、最終的に正しいIPアドレスを返します。多くの場合、これらの情報の一部はキャッシュされ、今後のクエリの処理速度が向上します。
ブラウザにドメインを入力すると、システムはまずそれを解決しようとします。 ローカルキャッシュ(コンピュータ、オペレーティングシステム、リゾルバ)該当するIPアドレスが存在しない場合、クエリは再帰リゾルバ、ルートサーバー、TLDサーバーを経て、最終的に権威サーバーに到達し、最終的なIPアドレスが返されます。この処理はすべてミリ秒単位で行われますが、各ホップは潜在的な攻撃対象領域または制御ポイントとなります。
重要な詳細の1つは、デフォルトでは、 従来のDNSは暗号化を組み込んでいませんこれは、インターネットサービスプロバイダ(ISP)と、トラフィックにアクセスできる仲介業者は、あなたがどのドメインを訪問しているかを知ることができることを意味します。ただし、HTTPSを使用している場合は、ページの正確な内容を知ることはできません。この設計は、システムが適切に保護されていない場合、検閲、追跡、攻撃を容易にします。
DNSを管理している人は、あなたのことをどれくらい知っているのでしょうか?
あなたが行うすべてのDNSリクエストは痕跡を残します。 DNSサーバーの所有者は、あなたがどのIPアドレスからクエリを実行しているか、そしてどのドメインにアクセスしようとしているかを確認できます。そのシンプルなデータペア(IPアドレス、ドメイン、時間)だけで、あなたの閲覧習慣に関する非常に詳細なプロファイルを作成することが可能です。
Google Public DNSのようなサービスは、それを公然と述べている。 IPアドレスは一時的に(例えば24~48時間)保存され、その他の「匿名化された」使用データは永続的に保存されます。これにより、統計を収集したり、サービスを改善したり、広告ベースの企業の場合は、たとえあなたと直接関連付けないと約束したとしても、セグメンテーションをより充実させることができるのです。
CloudflareやQuad9など、プライバシーに重点を置くサードパーティのDNSプロバイダーは、次のように宣伝しています。 彼らはあなたのIPアドレスを永続的に記録せず、ログを最小限に抑え、広告主にデータを販売することもありません。しかし、覚えておくべきことは 技術的に 他のDNSサーバーと同様に、DNSサーバーもあなたのクエリを閲覧する権限を持っています。信頼性は、DNSサーバーのポリシー、透明性、そして独立した監査にかかっています。
さらに、DNSは政府や通信事業者にとって共通の制御ポイントです。多くのウェブサイトのブロックは単純に適用されます... 公式DNSで特定のドメインの解決を拒否する 国や企業によって制限されている場合があります。DNSを変更することで、多くの場合、この基本的な検閲を回避できますが、非常に厳しい環境では、他のブロック技術が併用されている場合もあります。
それを理解することが不可欠です 代替DNSを使用しても、IPアドレスは隠されませんし、VPNの代わりにもなりません。無料のパブリックDNSは仮想プライベートネットワーク(VPN)としては機能しません。アクセスしたウェブサイトには依然としてあなたの実際のIPアドレスが表示され、ISP(インターネットサービスプロバイダ)はあなたがどのIPアドレスに接続しているかを把握できます。たとえ最新の技術を使用しても、ISP側でドメイン名が明確に認識できない場合でも、この情報は残ります。DNSはプライバシーとセキュリティの層ではありますが、完全な解決策ではありません。
ISP DNS、VPN DNS、またはカスタムDNS:一般的なオプション
多くのVPNプロバイダーは、複数のDNS設定を提供しています。 独自の DNS、統合リゾルバ、ハンドシェイクを使用するか、外部 DNS (Google、Cloudflare など) を維持するか、またはホーム Pi-hole のようなカスタム DNS を定義します。それぞれの選択肢には異なる意味合いがある。
設定を「彼自身のすべてのDNSトラフィックは、そのVPNが管理するサーバーを経由して解決されます。この方式の利点は、クエリが暗号化されたトンネル内を通過するため、ISPからDNSリクエストが隠蔽され、DNSリークが軽減されることです。しかし、VPNがアクティブな間、どのドメインにアクセスしているかをVPNプロバイダーが把握できるため、すべての信頼をVPNプロバイダーに置くことになります。
外部 DNS を使用することにした場合、 Google (8.8.8.8)、Cloudflare (1.1.1.1) またはその他選択するサービスによっては、速度向上やセキュリティ強化といったメリットが得られます。しかし、VPNを使用しない場合、クエリは直接リゾルバに送信され、ドメイン履歴が、あなたのプライバシーと必ずしも一致しない可能性のある大企業と共有されることになります。
オプション既存のDNSVPNで「システムDNSを使用する」を有効にすると、既存のDNS設定が保持されます。これは便利ですが、VPNクライアントが独自のDNSリゾルバの使用を強制したり、クエリを暗号化したりしない場合、DNSリークが発生する可能性があります。つまり、すべてがVPNを経由しているように見えても、ドメインリクエストは依然としてISPに送信されている可能性があるということです。
たくさん カスタムDNS (例えば、Pi-holeや独自のクラウドサーバーを指定するなど)設定を行うことで、最大限の制御が可能になります。ログに記録する内容、ブロックする内容、フィルタリング方法などを自分で決定できます。ただし、その場合、セキュリティ、可用性、メンテナンスに関する責任はすべてユーザー自身に課せられ、インターネット上に不用意に公開すると、攻撃の温床となる可能性があります。
カスタムDNS(Pi-hole、Control Dなど)を使用するメリット
カスタム DNS を設定するには、 ローカルネットワーク上のPi-hole、DNSSECを備えた独自のサーバー、またはControl-Dのようなマネージドサービスこれは、ISPのデフォルトDNSや一般的なパブリックDNSを使用する場合と比べて、多くの利点があります。
最初の大きな利点は、 脅威を発生源で阻止する最新のブロックリストを備えた最新のDNSを使用すれば、マルウェア、フィッシング、クリプトジャッキング、悪質な広告に関連するドメインをデバイスが解決するのを防ぐことができます。「悪質な」ドメイン名はIPアドレスに変換できないため、接続は確立されません。
この「予防的」アプローチは、通常は事後対応型の従来のウイルス対策ソフトが行うであろう動作を予測するものです。 脅威がすでにシステム内で進行している場合フィルタリングDNSを使用すれば、既知の危険なドメインに接触することがなくなるため、家庭用コンピュータはもちろんのこと、多くのユーザーを抱えるビジネスネットワークのリスクを大幅に軽減できます。
第二に、最適化されたカスタムDNSを使用することでパフォーマンスを向上させることができます。 広告、トラッカー、不要なリソースをブロックします (そして、例えば、 スマートテレビの広告を削除するページの読み込み速度が向上し、外部リクエストの数が減り、帯域幅の消費量が削減されます。接続速度が遅い場合や、多数のデバイスが接続されているネットワークでは、その効果は非常に顕著に現れます。
もう一つの重要な利点は、プライバシーの強化です(当社の オンラインプライバシーに関する重要なヒントPi-holeやプライバシー重視のサービスのようなソリューションは トラッカーや広告会社があなたの閲覧履歴を収集するのを防ぎます スクリプトやトラッキングドメインを通じて行われます。万能薬ではありませんが、インターネット閲覧中に数十もの広告ネットワークに絶えず情報が送信されるのを大幅に減らすことができます。
最後に、Control D のような多くのカスタム DNS サーバーは、 比較的シンプルな設定で、フィルタリングテンプレート(例:成人向けコンテンツ、ゲーム、ソーシャルネットワークなどをブロック)が用意されています。 また、企業におけるRMMやMDMを用いた大規模展開にサービスを統合するためのオプションも用意されています。これにより、数十台、数百台ものデバイスにセキュリティと制御のレイヤーを簡単に導入できます。
カスタムDNSのリスクとデメリット
その一方で、カスタムDNSは 新たな失敗要因と責任まず一つ目は明白です。DNSサーバーがダウンしたり、過負荷になったり、設定を誤ったりすると、インターネット接続自体は機能しているにもかかわらずウェブサイトの名前解決ができなくなるため、ネットワーク全体がインターネットにアクセスできない状態になる可能性があります。
もしあなたが信頼するなら 不明または疑わしいDNSサーバーリスクは増大します。悪意のある、あるいは侵害されたDNSサーバーは、ユーザーのリクエストを操作して偽のウェブサイト(フィッシングサイト)にリダイレクトしたり、マルウェアをインストールしたり、機密情報を傍受したりする可能性があります。DNSキャッシュポイズニングやDNSサーバーハイジャックは、攻撃者がトラフィックを自身が管理するサイトにリダイレクトするために頻繁に使用する手法です。
さらに、カスタム DNS には DDoS攻撃やインフラ攻撃に対する同様の保護対策 大手プロバイダーよりも優れたセキュリティを提供します。リゾルバに対するサービス拒否攻撃は、それに依存するすべてのユーザーの名前解決を停止させる可能性があります。そのため、ビジネスや重要なサービスのために独自のDNSを設定する場合は、冗長性を持たせ、堅牢なネットワーク上に展開することをお勧めします。
もう一つ重要な点は、DNSSECや安全な設定などの対策を講じなければ、サーバーが侵害される可能性があるということです。 キャッシュポイズニング攻撃に対して脆弱このような場合、犯罪者はリゾルバを騙して、正規のドメイン名が実際には不正なサーバーのIPアドレスを指していると信じ込ませます。その後、キャッシュがクリアされるまで、そのドメインに問い合わせるすべてのユーザーは、操作されたアドレスを受け取ることになります。
最後に、広告、トラッカー、またはコンテンツカテゴリの非常に積極的なDNSフィルタリングは、 誤検出と正当な機能の破壊ウェブサイトが正しく読み込まれない、サービスが停止する、ドメインがブロックされているためセキュリティアップデートが届かないといった問題が発生します。リストを適切に調整し、ログを確認することが不可欠です。
DNSに関連する具体的な脅威とその軽減方法
DNSインフラストラクチャは非常に重要であるため、様々な攻撃の標的となります。最も一般的な攻撃は以下のとおりです。
- DDoS(分散型サービス拒否)攻撃 ウェブサイトやプロバイダのDNSサーバーを標的とする攻撃です。悪意のあるトラフィックをサーバーに大量に送り込むことで、サーバーのリソースを飽和させ、正当なリクエストが処理されなくなり、攻撃期間中はウェブサイトがインターネットから「消える」状態になります。
- タイポスコーティングこれは、有名ブランドのドメイン名とほぼ同じドメイン名を登録し、ユーザーの入力ミスを悪用する手口です。フィルタリングされていないDNSサーバーでは、ドメイン名を間違えるとこれらの偽ドメインにリダイレクトされ、そこから巧妙なフィッシング攻撃や認証情報の窃盗が可能になります。
- ドメイン登録の乗っ取り。 攻撃者がドメイン登録業者のアカウントを侵害した場合、DNSレコードを変更して、攻撃者が管理するサーバーにリダイレクトさせ、場合によってはドメインの所有権を改ざんする可能性があります。このリスクを軽減するためには、強力なパスワード、二段階認証、そしてセキュリティ対策が万全な登録業者を利用することが不可欠です。
- DNSキャッシュポイズニング 彼らはさらに一歩踏み込みます。攻撃者は特定のドメインに関する偽のデータをDNSサーバーのキャッシュに挿入し、何も知らないユーザーからの今後のクエリが不正なIPアドレスを使用して解決されるように仕向けます。ブラウザはDNS応答に依存しているため、ユーザーは知らず知らずのうちに偽の銀行サイトやマルウェアに感染したサイトに誘導されてしまう可能性があります。
これらのリスクを軽減するために、 DNSSEC(DNSセキュリティ拡張機能)の使用をお勧めします。これらのシステムは、DNS応答に暗号署名を追加することで、データが改ざんされていないことを保証します。これに加えて、暗号化通信(DoT、DoH、VPN)と厳格なDNSサーバーアクセスポリシーを導入することで、ハイジャックやポイズニングのリスクを大幅に低減できます。
最も一般的なパブリックおよびプライベートDNSサーバー
ISP または VPN の DNS サーバーに加えて、 無料かつオープンなDNSサーバー これらはルーター、PC、またはモバイルデバイスで手動で設定できます。最もよく知られているものには次のようなものがあります。
- OpenDNSの (208.67.222.222 および 208.67.220.220)。最も歴史のある公共サービスの1つで、現在はシスコが所有しています。有料版と無料版があり、高速で可用性が高く、フィッシングサイトをデフォルトでブロックし、ペアレンタルコントロールオプションも備えています。
- CloudFlare (1.1.1.1および1.0.0.1)。パフォーマンスとプライバシーを重視しています。広告目的でデータを使用したり、IPアドレスをディスクに書き込んだりしないことを約束しています。通常、セットアップは非常に迅速かつ簡単で、余計な機能はほとんどありません。
- Googleの公開DNS (8.8.8.8および8.8.4.4)。技術的な知識が少ないユーザー向けに設計されており、ドキュメントも充実しています。使いやすさとパフォーマンスの代償として、匿名化された閲覧ログとIPアドレスが一定期間保持されます。
- ComodoセキュアDNS (8.26.56.26 および 8.20.247.20)。セキュリティ分野におけるコモドの経験に基づき、危険なサイト、スパイウェア、過剰な広告を含むドメインをブロックすることを目的としています。
- Quad9 (9.9.9.9と149.112.112.112)。比較的新しい技術ですが、複数の情報源からの脅威インテリジェンスを活用して悪意のあるドメインをブロックすることに重点を置いています。セキュリティとパフォーマンスのバランスが優れています。
- Yandex.DNS (77.88.8.8 および 77.88.8.1)。ロシア語版の代替バージョンで、基本的なプロファイルと、危険なウェブサイトをブロックする「安全」バージョン(77.88.8.88 および 77.88.8.2)、および成人向けコンテンツをフィルタリングする「ファミリー」バージョン(77.88.8.7 および 77.88.8.3)があります。
- パブリックDNSサーバーリスト世界中の無料DNSサーバーを国別に絞り込んで検索できる巨大なデータベース。
VPNのDNSを使わない、パブリックサーバーを使う、独自のPi-holeをセットアップする、のどれを選ぶか決める際、重要な要素は ドメインクエリを誰に閲覧させるか、またフィルタリング、パフォーマンス、プライバシーに関してどの程度の制御が必要かを検討してください。各オプションのメリットとリスクを理解することで、予期せぬセキュリティやナビゲーションの問題なく、自分の優先順位に合わせて設定を調整することがはるかに容易になります。
