DNS over HTTPS (DoH) とは?仕組み・設定方法・プライバシーへの効果

最終更新: 2025-12-14

この記事は約 8 分で読めます

DNS over HTTPS とは何か

DNS over HTTPS (DoH) は、従来の DNS クエリを HTTPS プロトコルで暗号化して送受信する技術です。通常の DNS 通信は平文で行われるため、ISP やネットワーク管理者、あるいは悪意のある第三者がユーザーのアクセス先を容易に傍受できます。DoH はこの問題を根本的に解決し、DNS クエリの内容を暗号化によって保護します。

2018 年に RFC 8484 として標準化された DoH は、既存の HTTPS インフラを活用するため、ファイアウォールによるブロックが困難であるという特徴を持ちます。通常の Web トラフィックと同じポート 443 を使用するため、DNS 通信だけを選択的に遮断することが技術的に難しくなっています。

DNS リークは、VPN 使用時にも DNS クエリが暗号化されずに漏洩する問題ですが、DoH を併用することでこのリスクを大幅に軽減できます。

従来の DNS が抱えるプライバシー問題

DNS (Domain Name System) はインターネットの根幹を支える仕組みですが、1983 年の設計当初からセキュリティやプライバシーは考慮されていませんでした。

平文通信による傍受リスク

従来の DNS クエリは UDP ポート 53 を使用し、完全な平文で送受信されます。これは、ネットワーク経路上の誰もがユーザーのアクセス先ドメインを閲覧できることを意味します。

  • ISP はすべての DNS クエリを記録し、ユーザーの閲覧履歴を把握できる
  • 公共 Wi-Fi では同一ネットワーク上の攻撃者が DNS クエリを傍受可能。公共 Wi-Fi のリスクは DNS の傍受にとどまらず、セッションハイジャックや中間者攻撃にも及ぶ
  • 国家レベルの監視機関がインターネットトラフィックを大規模に収集する際、DNS は最も容易な情報源となる

DNS スプーフィングと改ざん

暗号化されていない DNS 通信は、改ざんにも脆弱です。攻撃者が DNS レスポンスを偽装し、ユーザーを悪意のあるサイトに誘導する「DNS スプーフィング」は、フィッシング攻撃の手法としても利用されています。

  • 中間者攻撃 (MITM) による DNS レスポンスの改ざん
  • DNS キャッシュポイズニングによる大規模な誘導
  • ISP による DNS ハイジャック (存在しないドメインを広告ページにリダイレクト)

検閲とコンテンツフィルタリング

一部の国や組織では、DNS を利用したコンテンツブロッキングが行われています。特定のドメインに対する DNS クエリを遮断またはリダイレクトすることで、ユーザーのアクセスを制限する手法です。

DoH の仕組みと技術的詳細

DoH は、DNS クエリを HTTPS リクエストとしてカプセル化することで暗号化を実現します。

通信フロー

  1. ブラウザまたは OS が DNS クエリを生成する
  2. クエリは DNS ワイヤフォーマットでエンコードされる
  3. エンコードされたクエリが HTTPS POST (または GET) リクエストとして DoH サーバーに送信される
  4. DoH サーバーが DNS 解決を行い、結果を HTTPS レスポンスとして返す
  5. ブラウザまたは OS がレスポンスをデコードし、IP アドレスを取得する

使用されるプロトコルとポート

DoH は HTTPS と同じ TCP ポート 443 を使用します。TLS 1.3 による暗号化が適用され、通信内容は第三者から完全に秘匿されます。HTTPS/TLS の暗号化技術がそのまま DNS 通信にも適用されるため、Web ブラウジングと同等のセキュリティが確保されます。

DoH と DoT の比較

DNS の暗号化技術としては、DoH のほかに DNS over TLS (DoT) も存在します。両者の主な違いは以下のとおりです。

  • DoH:HTTPS (ポート 443) を使用。通常の Web トラフィックと区別が困難で、ブロックされにくい
  • DoT:専用ポート 853 を使用。ネットワーク管理者が DNS トラフィックを識別・制御しやすい
  • DoH:ブラウザレベルで設定可能。アプリケーション単位での導入が容易
  • DoT:OS レベルでの設定が一般的。システム全体の DNS を暗号化できる
  • DoH:HTTP/2 や HTTP/3 の多重化により、パフォーマンス面で有利な場合がある
  • DoT:プロトコルのオーバーヘッドが小さく、シンプルな実装が可能

主要ブラウザでの DoH 設定方法

現在、主要なブラウザはすべて DoH をサポートしています。以下に各ブラウザでの設定手順を示します。

Google Chrome

  1. アドレスバーに chrome://settings/security と入力する
  2. 「セキュリティ」セクションの「セキュア DNS を使用する」を有効にする
  3. 「カスタムプロバイダ」を選択し、Cloudflare、Google、Quad9 などから選ぶ
  4. Chrome 125 以降では、ECH (Encrypted Client Hello) との連携も可能

Mozilla Firefox

  1. 「設定」→「プライバシーとセキュリティ」を開く
  2. 「DNS over HTTPS」セクションで「最大限の保護」を選択する
  3. プロバイダを選択する (デフォルトは Cloudflare)
  4. Firefox は 2020 年から米国ユーザーに対して DoH をデフォルト有効化しており、2025 年には対象地域を拡大している

Microsoft Edge

  1. edge://settings/privacy にアクセスする
  2. 「セキュリティ」セクションで「セキュア DNS を使用して、Web サイトのネットワークアドレスを検索する方法を指定する」を有効にする
  3. サービスプロバイダを選択する

Apple Safari

Safari は macOS 15 および iOS 18 以降で、システムレベルの暗号化 DNS 設定を利用します。「システム設定」→「ネットワーク」→「DNS」から設定可能です。Apple は iCloud Private Relay でも独自の暗号化 DNS を提供しています。

主要な DoH プロバイダ

DoH を利用するには、信頼できる DoH プロバイダを選択する必要があります。以下に主要なプロバイダとその特徴を紹介します。

Cloudflare (1.1.1.1)

  • エンドポイント:https://cloudflare-dns.com/dns-query
  • プライバシーポリシー:クエリログを 24 時間以内に削除。KPMG による年次監査を実施
  • 特徴:世界最速クラスの応答速度。マルウェアブロック機能付きの 1.1.1.2 も提供

Google Public DNS (8.8.8.8)

  • エンドポイント:https://dns.google/dns-query
  • プライバシーポリシー:一時的にフル IP アドレスを記録するが、24〜48 時間以内に匿名化
  • 特徴:高い信頼性と安定性。DNSSEC 検証をサポート

Quad9 (9.9.9.9)

  • エンドポイント:https://dns.quad9.net/dns-query
  • プライバシーポリシー:スイスに本拠を置き、IP アドレスを一切記録しない
  • 特徴:脅威インテリジェンスによるマルウェアドメインの自動ブロック。非営利組織が運営

プロバイダ選択のポイント

VPN と同様に、DoH プロバイダの選択はプライバシーに直結します。ログポリシー、運営組織の所在地、第三者監査の有無を確認し、自分のプライバシー要件に合ったプロバイダを選びましょう。DNS の仕組みやセキュリティプロトコルを体系的に学びたい方には、DNS プロトコルの技術解説書が参考になります。特に EU の GDPR や日本の個人情報保護法など、各国のデータ保護法がプロバイダのデータ取り扱いに影響を与えるため、所在地の法的環境も重要な判断材料です。

DoH の利点と懸念事項

プライバシーとセキュリティの向上

  • DNS クエリの暗号化により、ISP やネットワーク管理者による閲覧履歴の監視を防止
  • DNS スプーフィングや中間者攻撃からの保護
  • DNS リークのリスク軽減
  • 公共 Wi-Fi などの信頼できないネットワークでの安全性向上
  • 検閲回避の手段としての有効性。Tor Browser と併用することで、DNS レベルの検閲とトラフィック分析の双方を回避できる

懸念事項と批判

  • 企業ネットワークでのセキュリティ監視が困難になる可能性
  • ペアレンタルコントロールや DNS ベースのコンテンツフィルタリングが機能しなくなる場合がある
  • DNS クエリが少数の大手プロバイダに集中し、新たな中央集権化のリスクが生じる
  • DoH はドメイン名を暗号化するが、接続先の IP アドレス自体は隠蔽されない
  • 一部の国では DoH の使用自体が規制対象となる可能性がある

DoH だけでは不十分な理由

DoH は DNS クエリを暗号化しますが、完全なプライバシー保護には追加の対策が必要です。ブラウザフィンガープリントによる追跡や、TLS ハンドシェイク時の SNI (Server Name Indication) による接続先の漏洩は、DoH では防げません。包括的なプライバシー保護には、VPN や ECH (Encrypted Client Hello) との併用が推奨されます。ネットワークプライバシーの全体像を把握するには、ネットワークプライバシーに関する書籍も役立ちます。

2025-2026 年の最新動向

Encrypted Client Hello (ECH) との統合

2025 年、Cloudflare と Mozilla は ECH の本格展開を開始しました。ECH は TLS ハンドシェイク時の SNI を暗号化する技術で、DoH と組み合わせることで、DNS クエリだけでなく接続先のドメイン名も完全に秘匿できるようになります。Chrome 128 以降と Firefox 140 以降で ECH がデフォルト有効化されています。

DNS over QUIC (DoQ) の標準化と実装

RFC 9250 として標準化された DNS over QUIC (DoQ) は、2026 年に入り実装が本格化しています。QUIC プロトコルの特性を活かし、TCP ベースの DoH と比較して接続確立の遅延が大幅に削減されます。特に 0-RTT ハンドシェイクにより、初回接続時でも低レイテンシの DNS 解決が可能です。AdGuard DNS が DoQ を本番環境で提供しているほか、Cloudflare も 2025 年後半から DoQ のベータサポートを開始しました。NextDNS や Quad9 も対応を進めており、2026 年 3 月時点では主要な DNS プロバイダの多くが DoQ をサポートまたは試験提供しています。クライアント側では、Android 14 以降が OS レベルで DoQ に対応し、iOS 18.2 でも実験的なサポートが追加されました。

Apple iCloud Private Relay と DoH の進展

Apple の iCloud Private Relay は、DoH を基盤技術の一つとして活用し、DNS クエリの暗号化とプライバシー保護を実現しています。2025 年後半の iOS 18.3 および macOS 15.3 のアップデートにより、Private Relay の対応地域が拡大し、日本を含むアジア太平洋地域での安定性が向上しました。Private Relay は 2 段階のリレー構造を採用しており、Apple 自身もユーザーの DNS クエリと IP アドレスを同時に把握できない設計です。2026 年には Safari 以外のアプリトラフィックへの対応範囲が拡大し、メールやメッセージングアプリの DNS クエリも保護対象に含まれるようになっています。

主要 ISP の暗号化 DNS 対応状況

2026 年 3 月時点で、主要 ISP の暗号化 DNS 対応は着実に進展しています。米国では Comcast と Verizon が加入者向けに DoH を標準提供しており、英国の BT や Virgin Media も対応を完了しました。欧州では、ドイツの Deutsche Telekom やフランスの Orange が DoT/DoH の両方をサポートしています。

日本の ISP については、NTT ドコモが 2025 年後半に DoH 対応の DNS リゾルバを提供開始し、KDDI (au) も試験提供を進めています。IIJmio は技術者向けに DoH/DoT 対応の DNS サービスを早期から提供しており、国内 ISP の中では先行しています。一方、多くの固定回線 ISP では暗号化 DNS の標準提供はまだ限定的であり、ユーザーが手動で Cloudflare や Google の DoH を設定するケースが主流です。総務省の「DNS の暗号化に関する技術検討会」の報告書を受け、国内 ISP の対応加速が期待されています。

DNSSEC と DoH の組み合わせによるセキュリティ強化

DoH は DNS クエリの暗号化 (機密性) を提供しますが、DNS レスポンスの真正性検証は DNSSEC の役割です。2026 年に入り、この 2 つの技術を組み合わせた「暗号化 + 検証」の多層防御が標準的なベストプラクティスとして定着しつつあります。Cloudflare と Google Public DNS は DNSSEC 検証済みの DoH レスポンスを返す機能を強化し、不正な DNS レスポンスの検出精度が向上しました。Firefox 142 以降では、DNSSEC 検証に失敗した場合にユーザーへ警告を表示する機能が追加されています。DNSSEC の署名アルゴリズムも EdDSA (Ed25519) への移行が進み、署名サイズの縮小と検証速度の向上が実現されています。

DDR (Discovery of Designated Resolvers) の普及

RFC 9462 として標準化された DDR は、ネットワークが対応する暗号化 DNS リゾルバを自動的に発見する仕組みです。2025 年後半から主要 OS での実装が進み、ユーザーが手動で DoH を設定しなくても、対応ネットワークでは自動的に暗号化 DNS が利用されるようになりつつあります。

Oblivious DoH (ODoH) の進展

Oblivious DoH は、DoH プロバイダからもクライアントの IP アドレスを隠蔽する技術です。プロキシサーバーを経由することで、「誰が」「何を」問い合わせたかを分離します。Cloudflare が 2024 年から本格的に ODoH を提供しており、2025 年には対応クライアントも増加しています。

規制と標準化の動向

EU の NIS2 指令の施行に伴い、重要インフラ事業者に対する DNS セキュリティ要件が強化されています。暗号化 DNS の導入が推奨事項から実質的な要件へと格上げされる動きが見られます。一方、一部の国では暗号化 DNS を検閲回避手段として規制する動きも続いています。

今すぐできる実践チェックリスト

DNS のプライバシーを強化するために、以下の手順を順番に実施してください。

  1. IP 確認さんで現在の DNS 設定を確認し、DNS リークの有無をチェックする
  2. 使用しているブラウザで DoH を有効にする (上記の設定手順を参照)
  3. 信頼できる DoH プロバイダを選択する (ログポリシーと所在地を確認)
  4. DNS リークテストを実施し、DoH が正しく機能していることを確認する
  5. VPN を使用している場合、VPN の DNS 設定と DoH の設定が競合していないか確認する
  6. プライバシー重視の検索エンジンと組み合わせて、検索クエリの保護も強化する
  7. ECH 対応ブラウザを使用し、SNI の暗号化も有効にする

まとめ

DNS over HTTPS は、インターネットのプライバシーを向上させる重要な技術です。従来の平文 DNS 通信が抱えていた傍受・改ざん・検閲のリスクを、HTTPS の暗号化によって解消します。主要ブラウザでの設定は数分で完了するため、まだ有効にしていない方は今すぐ設定することをお勧めします。ただし、DoH 単体では完全なプライバシー保護は実現できないため、VPN や ECH など他の技術と組み合わせた多層防御が重要です。

この記事で登場した専門用語の意味を確認したい場合は、用語集もご活用ください。

共有する
B!

関連記事

IP アドレスとは?仕組みと確認方法をわかりやすく解説

IP アドレスの基本的な仕組み、IPv4 と IPv6 の違い、グローバル IP とプライベート IP の違い、そして IP アドレスから分かる情報について解説します。

IPv6 入門:次世代インターネットプロトコルの基礎知識

IPv6 の基本構造、アドレス表記、IPv4 との共存方法、プライバシーへの影響など、IPv6 の基礎知識をわかりやすく解説します。

GeoIP とは?IP アドレスから位置情報を特定する仕組みと精度

GeoIP データベースの仕組み、位置情報の精度と限界、プライバシーへの影響、位置情報を隠す方法を解説します。

DNS リークとは?VPN 利用時に注意すべき DNS 漏洩の仕組みと対策

DNS リークの仕組み、VPN 利用時に DNS クエリが漏洩するリスク、検出方法、そして具体的な対策について解説します。