PR

 2018年7月に公開された米グーグルのWebブラウザー「Chrome」の新版で、HTTPS通信に対応していないWebページにアクセスすると「保護されていない通信」と警告が表示されるようになった。HTTPS通信は、TLSという技術を使って通信内容の暗号化と改ざん検知、通信相手の認証といった機能を提供する。攻撃者による盗聴や改ざん、偽サイトへの誘導を防ぐために役立つ。

7月24日公開のChrome 68では、HTTPS非対応のWebページにアクセスすると警告が表示される
7月24日公開のChrome 68では、HTTPS非対応のWebページにアクセスすると警告が表示される

 Chromeの新版登場で、Webサイト全体のHTTPS対応、いわゆる常時HTTPS化が一気に進む中、インターネットの名前解決に使うDNSの通信もHTTPS化しようと動きが活発になってきている。HTTPSを用いたDNSは、DNS over HTTPSと呼ばれ、「DoH」と略される。

 DNSは、URLに使われるドメイン名からIPアドレスを調べる処理(名前解決)に使われる。インターネットに欠かせない技術だ。ところが、DNSの仕組みを悪用した攻撃が絶えない。例えば、偽のDNS応答(IPアドレスの通知)を送りつけてサーバーとの通信の間に攻撃者が割り込み、通信内容を改ざんしたり、盗聴したりする中間者攻撃がある。DoHは、こうした攻撃の対策として効果がある。

 ところが最近、DoHが悪目立ちするようになった。ユーザーにとって有益だと思われるDoHを、著作権侵害につながると指摘をする有識者がいるからだ。どういうことだろうか。

DNSSECやDNS over TLSより優れる

 DoHの標準化を進めるIETF(Internet Engineering Task Force)は2018年8月24日、ドラフトのバージョン14を発表した。年内には、標準化される予定だ。

IETFで標準化が進むDNS over HTTPS
IETFで標準化が進むDNS over HTTPS
(出所:IETF)
[画像のクリックで拡大表示]

 一般的にDNSは、クライアントであるWebブラウザーが、ユーザーが入力したURLに含まれるドメイン名から、WebサーバーのIPアドレスを調べるときに使われる。ユーザーが指定したDNSサーバーに名前解決を要求するデータ(DNS要求)を送り、DNSサーバーからの応答(DNS応答)にIPアドレスが含まれる。これらのやり取りは通常、暗号化されない。また、DNS応答の送信元が正規の相手かどうかを確認しない。このため、偽のDNS応答を受け取ってしまう可能性が高かった。

 こうした攻撃を防ごうと、DNSSECやDNS over TLSといった対策がこれまで検討されてきた。どちらも、DNSの通信を安全に行うための規格である。しかし、両者の普及には課題があった。DNSSECの場合は、対応したDNSサーバーが少ないこと、通信内容は暗号化されないことなどだ。DNS over TLSの場合は、Webブラウザー(クライアント)側の対応が遅かったこと、DNS over TLSの通信に使う853番ポートをふさいでいるユーザー環境が多いことなどが挙げられる。通常のDNSは53番ポートを使用する。