Firefoxは、Webサイトへの接続に暗号化されたDNS-over-HTTPS(DoH)をデフォルトの方法にすると発表しました。このブラウザ技術は、Google Chromeにもまもなく導入されます。それが何を意味するのか全くわからないという方のために、この技術とブラウジングの未来について知っておくべきことをご紹介します。
ブラウザのアドレスバーに「[削除されたリンク]」(またはその他の URL)を入力すると、ドメイン ネーム システム (DNS) と呼ばれるシステムが、人間が理解できる URL をコンピュータが理解できる数字の文字列 (IP アドレス) に変換します。この IP アドレスは、Web サイトを見つけてブラウザに表示するために使用されます。
これは郵送先住所録に少し似ていますが、家に到達するために座標セットを解釈するのではなく、インターネット上の特定のサーバーに到達するために Web アドレスを解釈します。
私たちのほとんどは、通常、インターネット アクセスを販売している会社によって DNS プロバイダーを割り当てられますが、インターネット サービス プロバイダー (ISP) がアクセスした URL をスヌーピングしたり、閲覧履歴を広告主に販売したりすることを回避したいなどの理由で、必要に応じて DNS サービスを変更できます。
DNSプロバイダーを切り替えることには、他にもメリットがあります。例えば、速度や信頼性が向上することがよくあります。政府がWebの特定の部分へのアクセスをブロックしている地域に住んでいる場合、別のDNSサービスを利用することで、その問題を回避することができるかもしれません。
このマッピング(URLからIPアドレスへのマッピング)は通常暗号化されていないため、ツールとノウハウを持つ者であれば、ユーザーがどのサイトにアクセスしているかをスパイするのは非常に容易です。最悪の場合、データが操作され、特定のURLが本来アクセスすべきサイトではなく、悪意のあるサイトに誘導される可能性があります。しかも、ユーザーはそのことに全く気づかないままです。Mozillaは、この仕組みについて非常に分かりやすく詳細な解説を提供しています。
つまり、DNSはオンラインセキュリティの面で依然として脆弱なリンクであり、URLからIPアドレスへの変換プロセスは容易にスパイや傍受される可能性があります。DoHの背後にある考え方は、実際のサイトから送信される暗号化されたデータの上に構築することで、このセキュリティを強化することです。DoHは、DNSリクエストを暗号化されたHTTPSデータとして送信することで、これらの通信を暗号化します。これにより、ISPやDNSプロバイダーはユーザーのアクセス先を把握できなくなり、デバイスで動作しているソフトウェアも同様に把握できなくなります。
DoHはFirefoxで1年以上前からオプションとして利用可能でしたが、まもなくデフォルトになります。Googleも同様の方向で検討しており、次期Chromeバージョン78で一部のユーザーを対象にDoHの実験を行っています。ただし、Chromeの場合、暗号化はDNS設定を変更済みの技術に精通したユーザーのみに有効となります。
「数々の実験を経て、私たちは信頼性の高いサービスと優れたパフォーマンスを実現できること、主要な導入上の問題を検出・軽減できること、そして多くのユーザーが暗号化されたDNSトラフィックによる強化された保護の恩恵を受けられることを実証しました」と、Mozillaのセレナ・デッケルマンは説明します。「DoHをデフォルトで有効化することは、正しい次のステップだと確信しています。DoHが有効化されると、ユーザーに通知が届き、オプトアウトの機会が提供されます。」
では、その欠点は何でしょうか?暗号化されたインスタントメッセージに関する議論と同様に、一般ユーザーにとって安全な通信は、犯罪者にとっても安全な通信を意味します。例えば英国では、DoHによって違法で不適切なコンテンツの流通が容易になり、ペアレンタルコントロールやホワイトリストフィルターが回避されやすくなるという懸念が高まっています。
多くのペアレンタルコントロールサービスや、ISPが運営するアダルトコンテンツや違法コンテンツをブロックするサービスは、DNSレベルでIPアドレスを監視することで機能します。つまり、制御の対象となるユーザーは特定の接続先にアクセスできないようにするのです。DoHを有効にすると、ユーザーがどの接続先にアクセスしようとしているのかを誰も知ることができなくなり、フィルターは突然無効になります。
しかし、すべてを考慮すると、ほとんどのユーザーにとって DoH の利点は欠点をはるかに上回ります。Mozilla によると、システム上でペアレンタル コントロールが検出されると Firefox は DoH を無効にします。また、英国では、児童虐待サイトへの監視されていないアクセスに対する懸念から、今のところこの設定をデフォルトにしないことを約束しています。
Mozilla の場合、状況は明らかです。同社がこれまでに DoH で実行してきたテストでは、ユーザーの 4.3% が何らかのペアレンタル コントロールまたはセーフ サーチ DNS オプションを設定しており、ユーザーの 9.2% が特別な種類のエンタープライズ DNS 設定 (たとえば、企業のプライベート Web ハブへのアクセス用) を実施していることがわかりました。
つまり、大多数のユーザーにとって、DoHへの移行は安全かつシームレスであり、他のDNS管理に支障をきたす場合は、必要に応じて無効にすることができます。Mozillaは、DoHの強化にCloudflare 1.1.1.1 DNSサービスを使用しています。これは、Cloudflareのセキュリティとプライバシーに関する厳格なルールに一部基づいていますが、今後、さらに多くのDNSプロバイダーが追加される可能性があります。
FirefoxユーザーへのDoHのデフォルト設定の展開は開始されていますが、最初は「ごく一部の」ユーザーのみを対象とし、その後全ユーザーに展開されます。その間、Mozillaは問題がないか監視し、ユーザーからのフィードバックを収集します。DoHのデフォルト設定がまだプッシュされていない場合は、手動で有効化できます。
