Bizコンパス

DNS通信を暗号化する「DNS over HTTPS」とその課題
2019.11.13

今知っておきたいITセキュリティスキルワンランクアップ講座第17回

DNS通信を暗号化する「DNS over HTTPS」とその課題

著者 北河 拓士

 DNS(Domain Name System)は、ドメイン名とIPアドレスを対応付けて管理するシステムです。

 インターネットに接続する全ての機器には個別のIPアドレスが割り当てられ、通信はIPアドレスを元に行われます。しかし、Webサイト等のIPアドレスを人が記憶して入力することは現実的ではありません。そのため、Webサイトにアクセスする場合のURLや、メールを送信する場合のメールアドレスにはIPアドレスの代わりに覚えやすいドメイン名が使われます。このドメイン名をIPアドレスに変換する仕組みがDNSです。

 このようにDNSはインターネット通信において不可欠な存在で、ほぼ全ての通信の際にDNSの問い合わせが行われます(一定時間内に既に同じ名前の問い合わせをしており、キャッシュされている場合を除く)。しかし、DNSの問い合わせやその応答などの通信は平文で行われており、暗号化されていません。そのため、第三者が盗聴や改ざんを行うことが技術的に可能となっており、セキュリティやプライバシー上の問題があるとされてきました。

 そこで注目を集めるようになってきたのが、DNSの通信を暗号化するDNS over HTTPS(DoH、以下DoH)と呼ばれる技術です。今回はDoHについて紹介するとともに、その課題についても考えてみたいと思います。

 

DNSの通信が平文だと、どのような問題があるのか?

 通常のDNSでは名前の問い合わせやその応答は、暗号化されていない平文で通信が行われます。通信が平文だと第三者による盗聴や改ざんが可能です。スマートフォンなどのモバイル端末の普及により、一般のユーザーが公衆無線LANなどを利用する機会も多くなったことから、平文通信に対するリスクは以前にも増しています。

 最近ではWebサイトへのアクセスは暗号化されたHTTPSを使用する「常時HTTPS」が必須とされるようになってきました。しかし、Webサイトへアクセスする前に行われるDNSの問い合わせの通信が平文だと、これを盗聴することによりどのサイトにアクセスしようとしているかがわかってしまいます。

(実際には、HTTPSであってもどのサイトにアクセスしているかを判別されることはあります。これに関しては後述します。)

 また、DNSの応答を改ざんすることで、偽のサイトへ誘導されフィッシングやマルウェア感染などの被害にあう可能性もあります。DNSSECというDNSの応答に電子署名を行うことにより改ざんを検知する仕組みもありますが、日本でのDNSSECの普及率は、2019年11月時点で8.68%とあまり普及はしていません。また、DNSSECでは暗号化は行わないため、盗聴は防げません。

(HTTPでは、DNSの応答の改ざんで偽のサイトに誘導された場合に、それを検出することは難しいのですが、HTTPSではブラウザが証明書の警告を表示するため、不正なサイトであると気付けます。その意味でもサイトをHTTPS化することが求められています。)

 

DoHとは何か?

 DNS over HTTPS(DoH)とはWebサイトへのアクセスに利用されるHTTPSを用いてDNSの通信を暗号化する技術です。既にWebサイトへのアクセスで広く使われているHTTPSを用いることで実装や導入が容易になります。また、今後HTTP/3などによる高速化や、TLS 1.3などによるセキュリティの強化が行われた場合も、その恩恵を受けることができます。

 DNSを暗号化する技術としてはDNS over TLS(DoT)と呼ばれるものもあり、標準化はDoHよりも早く行われました。(DoT の標準化RFC7858 は2016年5月、DoHの標準化RFC8484は2018年10月)

 DoHが通常のHTTPSと同様の443/tcpポートを使うのに対し、DoTでは… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事で紹介しているサービスについて

SHARE

関連記事

ECサイトからのカード情報の流出。利用者ができる対策は?

2020.02.20

今知っておきたいITセキュリティスキルワンランクアップ講座第20回

ECサイトからのカード情報の流出。利用者ができる対策は?

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第19回

マルチクラウドの活用に必要なクラウドマネジメントとは?

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

「2025年の崖」を飛び越える鍵は“データの連携”にあり

2020.01.22

これからの時代に求められるデータ利活用第2回

「2025年の崖」を飛び越える鍵は“データの連携”にあり

不正なOffice文書によるマルウェア感染への対策

2020.01.21

今知っておきたいITセキュリティスキルワンランクアップ講座第19回

不正なOffice文書によるマルウェア感染への対策

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2段階認証を突破しようとするフィッシングの手口

2019.12.05

今知っておきたいITセキュリティスキルワンランクアップ講座第18回

2段階認証を突破しようとするフィッシングの手口

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

NASAに学ぶ“反面教師”のセキュリティ対策

2019.11.07

セキュリティ最前線第3回

NASAに学ぶ“反面教師”のセキュリティ対策