DNS の役割を理解する
DNS (Domain Name System) は、しばしば「インターネットの電話帳」に例えられます。私たちがブラウザに「kakunin-san.com」と入力すると、DNS サーバーがそのドメイン名を対応する IP アドレスに変換し、目的のサーバーへの接続を仲介してくれるのです。
この名前解決のプロセスは、Web ページを開くたびに静かに実行されています。通常、DNS リクエストは ISP が提供する DNS サーバーに送信されます。つまり、ISP はあなたがどの Web サイトにアクセスしようとしているかを、DNS リクエストを通じて把握できるということです。
DNS の仕組みを正確に理解することは、プライバシー保護の第一歩です。IP 確認さんのトップページでは、現在使用中の DNS サーバー情報を確認できます。まずは自分の環境がどの DNS サーバーを利用しているかを把握しておきましょう。
DNS リークとは何か
DNS リーク (DNS 漏洩) とは、VPN やプロキシを使用しているにもかかわらず、DNS リクエストが VPN トンネルの外側を通って ISP の DNS サーバーに到達してしまう現象を指します。
VPN を導入する主たる目的の一つは、ISP や第三者にインターネットの閲覧履歴を知られないようにすることです。しかし DNS リークが発生すると、通信内容自体は暗号化されていても、「どの Web サイトにアクセスしているか」という情報が ISP に筒抜けになってしまいます。VPN の保護効果が根底から損なわれる、見過ごせない問題です。
よくある誤解として「VPN に接続すれば DNS も自動的に保護される」と考えがちですが、実際には VPN の実装や OS の設定によっては DNS リクエストだけが VPN トンネルの外を通過するケースが少なくありません。VPN を使っているからといって安心せず、DNS リークの有無を定期的に検証することが重要です。
DNS リークはなぜ起きるのか
OS の DNS 設定の不整合
VPN に接続しても、OS が元の DNS 設定を保持し続けるケースがあります。とりわけ Windows では、VPN 接続時に DNS 設定が適切に切り替わらない事例が報告されています。Windows のスマートマルチホーム名前解決 (Smart Multi-Homed Name Resolution) 機能が、VPN トンネル外の DNS サーバーにも並行してクエリを送信することが原因の一つです。
IPv6 トラフィックの漏洩
VPN が IPv4 トラフィックのみをトンネリングし、IPv6 を処理しない場合、IPv6 経由の DNS リクエストが VPN の外側に漏れ出すことがあります。IPv6 の普及が進む中、この問題はますます深刻化しています。
WebRTC による漏洩
ブラウザの WebRTC 機能が、VPN を迂回してローカル IP アドレスや DNS 情報を外部に露出させることがあります。この問題についてはWebRTC リークの解説記事で詳しく取り上げています。
スプリットトンネリングの設定ミス
一部の VPN が提供する「スプリットトンネリング」機能は、特定のトラフィックのみを VPN 経由にする仕組みです。この設定が不適切だと、DNS リクエストが VPN の外側を通過する原因になります。
ネットワーク切り替え時の一時的な漏洩
Wi-Fi からモバイルデータ通信への切り替え、あるいは異なる Wi-Fi ネットワークへの移動時に、VPN 接続が一瞬途切れ、その間に DNS リクエストが ISP の DNS サーバーに送信されることがあります。ファイアウォールの設定で VPN 外の DNS 通信をブロックすることで、この問題を軽減できます。
DNS リークがもたらすリスク
- ISP があなたの閲覧履歴を把握できてしまう
- 暗号化されていない DNS リクエストが、ネットワーク上の第三者に傍受される恐れがある
- VPN を使用している意義が大幅に減殺される
- 地域制限の回避に失敗する場合がある
- DNS ハイジャックやキャッシュポイズニングの標的になりやすくなる
特に公衆 Wi-Fi 環境では、暗号化されていない DNS リクエストが中間者攻撃 (MITM) によって傍受・改ざんされるリスクが高まります。攻撃者が DNS 応答を偽装し、フィッシングサイトへ誘導する手口は現在も広く使われています。
DNS リークを検出する方法
IP 確認さんではDNS 漏洩テスト機能を提供しています。テストの仕組みは以下の通りです。
- テスト用の一意なサブドメインに対して DNS リクエストを発行する
- そのリクエストを処理した DNS リゾルバの IP アドレスを記録する
- リゾルバの位置情報と ISP 情報を分析する
- VPN プロバイダの DNS サーバー以外からの応答がないかを検証する
VPN を使用しているにもかかわらず、ISP の DNS サーバーや想定外の地域のサーバーが検出された場合、DNS リークが発生していると判断できます。
検出時の具体的な確認手順
- VPN に接続した状態で IP 確認さんにアクセスし、表示される IP アドレスが VPN サーバーのものであることを確認する
- DNS リークテストを実行し、検出された DNS サーバーの ISP 名と所在地を確認する
- 検出されたサーバーが VPN プロバイダのものであれば問題なし。自分の ISP 名が表示された場合は DNS リークが発生している
- 複数回テストを実施し、結果が一貫しているかを確認する (ネットワーク切り替え直後は特に注意)
DNS リークを防ぐための具体策
VPN の DNS リーク保護機能を有効にする
多くの VPN サービスには DNS リーク保護機能が内蔵されています。VPN クライアントの設定画面で、この機能が有効になっているか確認してください。キルスイッチ (VPN 切断時に全通信を遮断する機能) も併せて有効にすることを推奨します。VPN の仕組みやリーク対策を体系的に理解したい方には、VPN セキュリティの解説書が参考になります。
DNS サーバーを手動で指定する
ISP の DNS サーバーに代えて、プライバシーを重視した DNS サーバーを利用するのも有効な手段です。Cloudflare の 1.1.1.1 や Google Public DNS (8.8.8.8) が代表的です。ただし、これらのパブリック DNS を使用しても、DNS リクエスト自体が暗号化されるわけではない点に注意が必要です。
IPv6 を無効化する
VPN が IPv6 に対応していない場合は、OS のネットワーク設定で IPv6 を無効にすることで、IPv6 経由の DNS リークを未然に防げます。
WebRTC を制御する
ブラウザの設定や WebRTC Leak Prevent などの拡張機能を活用して、WebRTC 経由の情報漏洩を防止できます。
DNS over HTTPS (DoH) / DNS over TLS (DoT) を導入する
DoH は DNS リクエストを HTTPS 経由で、DoT は TLS 経由で暗号化して送信する技術です。2024 年時点で、Firefox、Chrome、Edge、Safari の主要ブラウザすべてが DoH をサポートしています。
DoH と DoT にはそれぞれトレードオフがあります。DoH はポート 443 を使用するため通常の HTTPS 通信と区別がつかず、ネットワーク管理者によるブロックが困難です。一方、DoT はポート 853 を使用するため、ネットワーク管理者が DNS トラフィックを識別・制御しやすいという利点があります。企業ネットワークでは DoT が好まれる傾向にあり、個人利用では DoH が手軽に導入できます。DNS の暗号化技術について体系的に学びたい方には、DNS セキュリティの入門書が参考になります。
2025 年現在、Apple の iCloud プライベートリレーや Google の Encrypted Client Hello (ECH) など、DNS の暗号化をさらに推し進める技術も登場しています。DNS のプライバシー保護は急速に進化している分野です。
DNS セキュリティプロトコルの比較
DNS のセキュリティを強化する技術は複数存在し、それぞれ保護する範囲と目的が異なります。DNS リーク対策を検討する際には、各プロトコルの特性を正しく理解しておくことが重要です。
DNSSEC (DNS Security Extensions)
DNSSEC は DNS 応答にデジタル署名を付与し、応答の改ざんを検知する仕組みです。DNS キャッシュポイズニングへの対策として有効ですが、DNS リクエストの内容自体を暗号化するわけではありません。つまり、DNSSEC を導入しても、ISP やネットワーク管理者はどのドメインに問い合わせたかを依然として把握できます。DNSSEC は「応答の真正性」を保証する技術であり、「通信の秘匿性」を提供する DoH や DoT とは補完関係にあります。
DoH と DoT の使い分け
DoH (DNS over HTTPS) と DoT (DNS over TLS) はいずれも DNS リクエストを暗号化しますが、運用上の特性が異なります。DoH はポート 443 を使用し、通常の Web 通信と見分けがつかないため、検閲やフィルタリングを回避しやすい反面、企業のセキュリティポリシーで DNS トラフィックを監視・制御したい場合には不都合が生じます。DoT はポート 853 を使用するため、ネットワーク管理者が DNS トラフィックを識別しやすく、企業環境での導入に適しています。
Oblivious DoH (ODoH) と DNS over QUIC (DoQ)
2024-2025 年にかけて、次世代の DNS プライバシー技術も実用段階に入りつつあります。ODoH は DNS リゾルバとクライアントの間にプロキシを挟むことで、リゾルバがクライアントの IP アドレスを知ることなく名前解決を行える仕組みです。Cloudflare と Apple が共同で推進しており、iCloud プライベートリレーの基盤技術として採用されています。DoQ は QUIC プロトコル上で DNS を暗号化する方式で、TCP ベースの DoT よりも接続確立が高速です。AdGuard DNS など一部のプロバイダが対応を開始しています。
これらの技術を組み合わせることで、DNS リークのリスクを多層的に低減できます。ただし、どの技術を採用してもファイアウォールの適切な設定は不可欠であり、VPN 外への DNS 通信をブロックするルールを併用することが推奨されます。
DNS リークとその他のプライバシーリスクの関係
DNS リークは単独で発生する問題ではなく、他のプライバシーリスクと密接に関連しています。VPN を使用していても、DNS リークが発生すれば ISP にアクセス先が筒抜けになり、GeoIP による位置推定で実際の所在地が特定される可能性があります。DNS リクエストには宛先のドメイン名が含まれるため、ISP や中間者はあなたの閲覧パターンを詳細に把握できます。
2024-2025 年にかけて、DNS のプライバシーを取り巻く環境は急速に変化しています。Encrypted Client Hello (ECH) の標準化が進み、TLS ハンドシェイク時のサーバー名 (SNI) も暗号化されるようになりつつあります。これにより、DNS over HTTPS と ECH を組み合わせることで、ISP やネットワーク管理者がアクセス先を把握することがより困難になります。一方で、一部の国ではこうした暗号化技術を規制する動きもあり、プライバシーと規制のバランスが議論されています。
今すぐできるアクション
DNS リークは、VPN を利用していても発生し得る、見落としがちなプライバシーリスクです。以下のステップで、今すぐお使いの環境を検証してみてください。
- IP 確認さんのトップページにアクセスし、VPN 接続中の IP アドレスと DNS サーバー情報を確認する
- DNS リークテストを実行し、検出された DNS サーバーが VPN プロバイダのものであることを確認する
- 自分の ISP 名が表示された場合は、VPN クライアントの DNS リーク保護機能を有効にする
- ブラウザの DoH (DNS over HTTPS) 設定を有効にし、DNS リクエストの暗号化を確認する
- Wi-Fi とモバイルデータ通信を切り替えた直後にもテストを実施し、一時的な漏洩がないか確認する
- 定期的にテストを繰り返し、VPN の設定変更や OS アップデート後にも DNS リークが発生していないか検証する
この記事で登場した専門用語の意味を確認したい場合は、用語集もご活用ください。