DoT/DoHでDNSのプライバシーは守られるのか？　ほか

DoT/DoHでDNSのプライバシーは守られるのか？

　株式会社インターネットイニシアティブの山口崇徳氏による「DoH/DoT入門」では、インターネットユーザーのプライバシーを守るために開発されたDoT（DNS over TLS）とDoH（DNS over HTTPS）に関する解説が行われた。その中で、DoTやDoHで具体的に何が守られるのかという点が興味深かったことから、その点に焦点を合わせてまとめてみたい。

　DoT/DoHは双方とも、安全性の担保をTLS（Transport Layer Security）に依拠している[*5]。TLSは、TCPにおける通信でセキュアなチャンネル（通信路）を利用できるようにする仕組みで、以下に示す3つの機能を提供する。

1. 通信相手が正しいことを確認する
2. 通信データを暗号化することで盗聴を防止する
3. 通信データが改ざんされたときにそれを検出する

　つまり、DoT/DoHはともに、TLSという仕組みを利用してスタブリゾルバーと参照サーバー（フルサービスリゾルバー）[*6]間で行われるDNSのやりとりに機密性を与えるものである（図18）。

図18：トランスポート暗号化のスコープ

　しかしながら、DoT/DoHがDNSのプライバシーを本当に保護するのかという疑問がある。なぜなら、DoTやDoHを利用すると、これまで使ってきたDNS（traditional DNS）よりもフルサービスリゾルバー側で得られる情報が増えるからである（図19）。

図19：DoT/DoHでユーザー情報を追う

　すなわち、DoHやDoTを利用することで通信路上の監視者からDNSを盗聴されるリスクは減るが、その一方で、フルサービスリゾルバー側に従来よりもより多くの情報を与えることにもなりかねない。山口氏は、「こうした情報を、例えばターゲティング広告の判断材料に利用したり、（法的・道徳的にという問題はあるが）ほかの事業者に売ったりすることもできるかもしれない」ことや「第三者ではなく、通信相手（フルサービスリゾルバー）自身が応答を書き換えることも（やろうと思えば）できる」点には注意が必要であるとした（図20、図21）。また、海外のDoT/DoHサービスを利用する際には、日本の法律や商習慣とは異なる法律や商習慣が適用されるという点を忘れてはならない。山口氏も、「重要なのはサービスのポリシーであり、そのポリシーを許容するか否かはユーザー自身が個々に判断しなくていけない」と述べている。

図20：DoT/DoHでユーザーは守れるのか（1）

図21：DoT/DoHでユーザーは守れるのか（2）

　そもそもDoTやDoHが出てきた背景には、スノーデン氏が暴露した米国政府が行っている通信の監視や、中国などが行っているインターネット規制への対抗という面がある。そして、実際、そのような場面では有効だと感じる。

　しかしながら、筆者は、日本国内に限れば、現状で一番安全なのはISPが提供するフルサービスリゾルバーを利用することであろうと考える。なぜなら、ユーザー宅内にあるホームルーターからISPのフルサービスリゾルバーまでの通信経路は実質的にISPが提供するネットワークの内部となるからである。その内部で完結した通信に外部の第三者が介入することは困難であり、いわゆる平文であっても盗聴や改ざんといったリスクはそれほど高くないはずだからだ。

　一方で、ISP外のいわゆるパブリックDNSサービスを利用する場合には、ISPのネットワーク内で通信が完結せず、インターネットの中をパケットが流れることになる。そうなると一気に盗聴や改ざんといったリスクが増えることから、安全な通信を行うためにDoTやDoHが必要になるということであろう。スライドは前後するが、図22として山口氏による「DoT/DoHのユースケース」を掲載しておく。

図22：DoT/DoHの利用例