PR
4/1朝まで
どなたでも有料記事が読み放題「無料開放デー」開催中!

 DNSの仕組みを悪用した攻撃対策として注目が集まる「DNS over HTTPS」(DoH)。標準化を進めるIETF(Internet Engineering Task Force)が2018年8月16日、ドラフトのバージョン14を発表した。年内には、標準化される予定だ。ところが、DoHが海賊版サイト対策の障害になると指摘する有識者がいる。どういうことか。

DNSSECより優れる

 名前解決に使うDNSの通信は通常、暗号化されない。また、DNS応答の送信元が正規の相手かどうかを確認しない。このため、偽のDNS応答を受け取ってしまう可能性が高かった。偽のDNS応答により、サーバーとの間に攻撃者に割り込まれ、通信内容を改ざんされたり、盗聴されたりする中間者攻撃を受ける恐れがある。

 こうした攻撃を防ごうと、DNSSECやDNS over TLSといった対策がこれまで検討されてきた。どちらも、DNSの通信を安全に行うための仕様だ。しかし両者の普及には課題があった。DNSSECの場合は、対応したDNSサーバーが少ないこと、通信内容が暗号化されないことなどだ。DNS over TLSの場合は、Webブラウザーの対応が遅かったこと、通信に使う853番ポートをふさいでいるユーザー環境が多いことなどが挙げられる。通常のDNSやDNSSECは53番ポートを使用する。

 そこで注目されているのがDoHだ。HTTPSを用いるので、通信内容は暗号化され、通信相手も検証する。通信に使うのは443番ポートであり、これはWebサーバーとHTTPS通信するときに使うポートなので、ほとんどのユーザー環境で通信できるはずだ。既に対応するWebブラウザーが多く、米グーグルなどが提供するパブリックDNSはDoHに対応している。

DNSブロッキングができなくなる

 DoHを問題視する理由は、海賊版サイト対策で実施されているDNSブロッキングを回避できてしまうからだ。

 DNSブロッキングは、インターネットサービスプロバイダー(ISP)やキャリアのDNSサーバーで、海賊版サイトへのDNS要求に対してそのIPアドレスを応答しないことで実現している。ユーザーが回避しようとパブリックDNSなど外部のDNSサーバーを使えば、DNSブロッキングを回避できる。そこでISPやキャリアが、53番ポートの通信をブロックして外部のDNSサーバーを使わせない対策(OP53B)も合わせて検討されている。

 しかしOP53BでもDNSブロッキングの回避を防げないのが、DoHだ。DoHは443番ポートの通信なので、ISPやキャリアがこのポートの通信を止められない(図1)。暗号化しているので、ISPやキャリアが通信内容を確認して遮断するのも困難だ。

図1●通常のDNSとDoHの違い
図1●通常のDNSとDoHの違い
通常のDNSはほかのプロトコルでは使わない53番ポートを使うので、ISPやキャリアはDNSだけを遮断できる。一方、DoHは443番ポートを使うため、インターネットにアクセスできる環境(80番ポートと443番ポートを使用)ではDoHの通信だけを遮断するのは困難。
[画像のクリックで拡大表示]

 こうした背景から、DNSブロッキングを推進したい有識者は、DoHに何らかの制限をかけようとしている。とはいえ、DNSの仕組みを悪用した攻撃がユーザーの安全を脅かせているのは事実だ。DoHは、待ったなしで普及を優先させるべきだろう。