[iPhone] 自宅のWi-Fiで「暗号化されたDNSのトラフィックをブロック」という警告が出たらどうする？（プライバシーに関する警告）

• 急に iPhoneのWi-Fi設定に「プライバシーに関する警告」が表示されました。
• DNSトラフィックの暗号化に失敗したことを示していました。
• もし、公衆Wi-Fiを使っている場合なら注意が必要ですが、自宅のWi-Fiでは大きな問題ではありません。

iPhoneの要求するセキュリティの基準が上がってきました。
もしかすると、今後のルーターやプロバイダーは対応するのが「スタンダード」になるかもしれません。

YouTube動画でも話しています。

似た話で「プライベートWi-Fiアドレスがオフ」の表示

「プライバシーに関する警告」とネット広告【プライベートWi-Fiアドレスのメリット・デメリット】[iPhone]

iPhoneのWi-Fi設定に「プライバシーに関する警告」が表示されました。「プライベートアドレス」ってなんですか？ どんな問題がありますか？ネット広告が関連する広告を「追跡」して表示することに「気持ち悪い」と感じる人も多いです。それを防ぐために導入されたのが、「プライベートWi-Fiアドレス（プライベートアドレス）」です。以前はなかったプライバシー保護の機能なので、プライベートアドレスが無効だからといって、「何でも監視されてしまう」わけではありませんが、現在は有効にしてWi...

chiilabo.com

1. 「プライバシーに関する警告」が表示された

iPhone内のアプリが「URLの暗号化通信を試みて失敗した」のかもしれません。
しかし、自宅のWi-Fi であれば基本的に問題ないと考えます。
というのも、攻撃者が自宅付近まで来ている可能性が少なく、また通信内容までは傍受できないからです。

とくにクレジットカード情報の入力などは、HTTPS通信のセキュリティ保護があるので問題はありません。

1-1. Wi-Fiの「プライバシーに関する警告」（iOS14〜）

iPhoneは、iOS14 以降、Wi-Fiの警告で「プライバシーに関する警告」が表示されるようになりました。

「Wi-Fiのプライバシーに関する警告」には、大まかに 2種類あります。

• Wi-Fiルーターの暗号化方式が古い
• 暗号化されたDNSがブロックされる設定になっている

いずれも共通するのは、インターネットの「道案内」までのルートが完全には保護されていない、ということです。

今回の警告を読んでみると、「対象のWi-Fiネットワークで、DNSを暗号化して通信しようとして失敗した」という意味のようです。

プライバシーに関する警告
このネットワークは暗号化されたDNSトラフィックをブロックしています。

デバイスがこのネットワーク上でアクセスするWebサイトやほかのサーバーの名前は、このネットワーク上のほかのデバイスによって監視および記録される場合があります。

日本語のメッセージがわかりにくいので、英文で警告文を確認してみましたが、ほとんど同じ内容でした¹。

1-2. DNS通信の暗号化機能（iOS14）

ここでポイントになるのは、「DNS通信の暗号化がうまくできていない」ということです。

この警告文は、iOS14に「DNS通信の暗号化」という新機能が付け加えられたために表示されるようになりました²。

この警告は、ユーザーがウェブサイトにアクセスしたときに、1回でもDNSの暗号化がうまくいかないと表示されるようです。
iOSのバージョン14以降、特に15以降ではよくある現象です³。

逆に言うと、iOS14がリリースされた2020年9月16日より前のOSではこの警告は表示されませんでした。

1-3. 表示されたり、されなかったり不安定（iOSの問題点）

この「DNS通信の暗号化できていない警告」の厄介なところは、表示されたり、しなかったりすることです⁴。

どうも「プライバシーに関する警告」は誤表示のケースもあるようで、iPhoneを再起動すると表示されなくなる場合もあります（ただし、時間が経つとまた表示されることもある）。

同じWi-Fiに接続しても、ある日 突然 表示されたり、電源を入れ直すと警告が消えたり、と表示のタイミングがランダムなのです。

ですので、現時点（2021年12月28日）では、この警告自体がちょっと信頼できない状態です。
今のところは、そこまで心配しないても良いと思います。

2. どうしてDNSトラフィックを暗号化するの？

「DNSトラフィック」は、DNSサーバにURLを伝えて IPアドレスを聞きに行く通信のことです。

DNSとは（インターネット通信）

DNSサーバの役割は、ドメイン名をIPアドレスに変換して、ウェブサイトにアクセスできるようにすることです。家庭のWi-Fiルーターの場合、通常はプロバイダが提供するDNSサーバを利用していることが多いです。「ERR_NAME_NOT_RESOLVED」というエラーは、DNSサーバとの接続かうまくいっていないことを示しています。さらに理解を深めるプロバイダのDNSサーバ「DNS」とは、URLをIPアドレスに変換するシステムです。「Domain Name System」の略で、ウ...

chiilabo.com

これまで、DNSに確認するURLは暗号化されていませんでした。
基本的には「やり取りされる情報を暗号化していれば、アドレスまでは必要ない」と考えられてきたからです。

しかし、最近は、この「DNSに確認するURLについても、HTTPSなどのように暗号化しよう」という流れがあります。

もともと、インターネット通信は「性善説」で設計されたため、少しずつ通信内の暗号化する範囲が広がってきた歴史とも言えますね。

宅配便の「匿名配送」みたいな感じなんだね。

最近はプライバシー重視で、宅配の宛先も隠せるようになっているよね。

2-1. DNSの暗号化がブロックされると不都合はあるの？

「DNSの暗号化がブロックされた」というとわかりにくいですが、要は「DNSの暗号通信がうまくいかなかった」ということ。

この場合は、その Wi-Fiネットワークでは（これまで通り）平文でDNS通信が行われます⁵。

これは「DNS漏洩」とも呼ばれます。
同じネットワークにいる端末がその気になれば、あなたのDNS通信（主にアクセス先のURL）を傍受できてしまうのです。

ただし、一般の家庭では、DNS通信が平文であっても、大きな問題になることは少ないです。
というのも、家庭用のWi-Fiネットワークに接続しているのは、家族や来客だけのことがほとんどだからです。

ただし、仕事用のクラウドデータなどを使っていたりすれば、少し注意が必要です。
DNSクエリの暗号化に失敗すると、たとえば、パスワード保護のない共有文書などは、インターネットサービスプロバイダやDNSサーバーオペレーターなど、本来権限がない人にも共有するURLが知られてしまうことがありえます⁶。

とはいえ、大事な情報をパスワードなしで誰でも見られる状態で共有したり、家庭からそのまま機密情報にアクセスしたりする企業の運用にも問題があります。

2-2. 家庭用Wi-Fiネットワークにおけるリスク

DNSの暗号通信がうまくいかないは、接続中のWi-Fiネットワークが DNS通信の暗号化に対応していないためです。
iPhoneではなく、ネットワーク通信の問題です。

個人宅で家庭用の場合なら、iPhoneやWi-Fiルータのセキュリティを正しく設定していれば、現時点ではそこまで現実的な脅威ではありません。

• 傍受できる情報にそこまで価値がないケースがほとんど
• 攻撃者がわざわざ来るほどの動機がないケースがほとんど

傍受される危険性があるのは通信内容のうちの「アクセスするWebサイトやほかのサーバーの名前」という部分だけです。
つまり、ウェブページの通信内容そのものは通常通りセキュリティ保護されてます。

クレジットカードサイトなどは、通信の中身を暗号化しています。
この警告によって、入力や表示が傍受されることはありません。

2-3. 攻撃者がすぐに侵入できるわけでもない

攻撃者が Wi-Fiネットワーク内にそう簡単に入り込んで来るわけでもないです。

個人宅からプロバイダのDNSサーバまでの経路が比較的 安全です。
途中の通信経路には基本的に通信会社の設備しかないため、攻撃者が入り込みにくいからです。

もちろん、弱点が全くないわけではありません。

• 自宅内の Wi-Fi の電波の範囲
• 集合住宅の共用設備

つまり、Wi-Fi 自体が暗号化されていなかったり、共用設備に侵入されてしまうなど、悪条件が重なると、攻撃者がWi-Fiネットワークに侵入します。

しかし、「どのサイトに接続しているのか」という情報だけのために、わざわざ侵入してくるかというと現実的には稀です。

スパイ大作成みたいだね。

2-4. ただし、パブリックDNSの場合は注意

じゃあ何のためにこの警告があの？

この警告で注意が必要なのは、DNSの接続先を「パブリックDNS」に変更している場合です。

パプリックDNSと公衆Wi-FiとDNSトラフィックの暗号化

公衆Wi-Fiは、個人宅のWi-Fiルーターに比べ設定内容が不明で、信頼できないDNSサーバーに接続される危険性を考える必要があります。そこで、信頼できるパブリックDNSを利用して、偽サイトに誘導されるリスクを減らします。ただし、パブリックDNSを安全に利用するには、端末からDNSサーバーまでの通信（DNSトラフィック）を暗号化することが重要です。公衆Wi-Fiでの接続先は信頼できるのか？DNS通信の暗号化が重要になるのは、「公衆Wi-Fi」を利用する場合です。たとえば、仕事...

chiilabo.com

パブリックDNSに接続している場合には、途中経路でアクセス先の情報が盗聴・改竄されて、偽サイトに誘導されるリスクがあります。

もし、警告が表示されている場合は、通常のISPのDNSなどに設定を戻した方がよいかもしれません。

「パブリックDNSって何？」という人が勝手に設定されていることは考えにくいので無視しても大丈夫です。

3. DNSの暗号化に失敗するのは主な要因（ルーター）

Wi-Fiルーターの設定や機能が「古い」状態だと、DNSの暗号化に対応していないことがあります。

たとえば、ルーターのファームウェアが古いと、DNSの暗号化プロトコル（DNS over TLS、DNS over HTTPS）に対応していない可能性があります。
対応していないと、暗号化されたDNSクエリはブロックされてしまいます。

この場合、対応するにはルーターの設定を更新・確認したり、買い替えが必要です。

3-1. プロバイダーの仕組みが古い

DNSの暗号化に失敗するのは、ざっくりに言えばプロバイダーの仕組みが古いから ということもあります。

家庭のWi-Fiルーターは、通常 プロバイダー（ISP：インターネット サービス プロバイダー）の提供するDNSサーバに接続する設定になっています⁷。

まだDNSの暗号化には対応していないプロバイダも少なくありません。
プロバイダがDNSの暗号化に対応していない主な理由は、コストと技術的な課題です。

プロバイダ側でシステムの更新や新しい機器の導入が必要になります。
費用や技術的な課題のため、すぐに即座に対応できるわけではありません。

また、既存のセキュリティ対策にDNS通信内容が必要なケースも考えられます。
たとえば、DNSトラフィックを暗号化すると、有害なサイトを遮断するフィルタリング機能は提供できなくなります。

3-2. プロバイダーの通信ログの保存義務

特にプロバイダには、ユーザーの通信ログを一定期間保存する義務があります。

「電気通信事業における個人情報保護に関するガイドライン」によると、

• プロバイダは、利用者の通信ログ（アクセスログ、発信者情報、位置情報など）を、原則として3ヶ月以上保存しなければならない。
• 通信ログは、犯罪捜査など法律で定められた場合に限り、法執行機関に提供することができる。
• プロバイダは、通信ログの漏洩や不正アクセスを防ぐために、適切なセキュリティ対策を講じなければならない。

もちろん、DNSクエリを暗号化しても、実際の通信先のIPアドレスなどは通信ログに残ります。
理屈の上では、DNS暗号化に対応しても問題はないはずです。
しかし、システム面での変更は大きいため二の足を踏むのかもしれません。

そもそも、まだ一般ユーザーの間で DNSの暗号化が必要という認識が浸透していません。

そのため、わざわざDNSの暗号化を導入する動機が弱いわけです。
とはいえ、このような警告メッセージが出るようになると、徐々にDNSの暗号化に対応していくかもしれません。

プロバイダが対応できない場合でも、ユーザー側でDNSを暗号化したいなら、信頼できるパブリックDNSサービスを利用することも選択肢です。

こちらもどうぞ。

[iPhone] 「プライバシーに関する警告」でVPNがオフになる？

iPhoneのWi-Fi設定で「プライバシーに関する警告」が表示され VPNが自動的にオフになる、という相談がありました。DNSトラフィックの暗号化とVPNの暗号化は別のものですが、VPNアプリによっては影響を与える可能性もあります。VPNはDNSトラフィックだけでなく、IPアドレスの匿名化やすべてのトラフィックの暗号化を提供します。「プライバシーに関する警告」が出て来てVPNがつながらない？iPhoneで家の Wi-Fi を使ってると「プライバシーに関する警告」が出て来るよ...

chiilabo.com

「プライバシーに関する警告」とネット広告【プライベートWi-Fiアドレスのメリット・デメリット】[iPhone]

iPhoneのWi-Fi設定に「プライバシーに関する警告」が表示されました。「プライベートアドレス」ってなんですか？ どんな問題がありますか？ネット広告が関連する広告を「追跡」して表示することに「気持ち悪い」と感じる人も多いです。それを防ぐために導入されたのが、「プライベートWi-Fiアドレス（プライベートアドレス）」です。以前はなかったプライバシー保護の機能なので、プライベートアドレスが無効だからといって、「何でも監視されてしまう」わけではありませんが、現在は有効にしてWi...

chiilabo.com

[iPhone] 接続はプライベートではありません？【勝手にフリーWi-Fiに接続してしまったら】

「接続はプライベートではありません」と表示されるのは、フリーWi-Fiにつながってしまっている場合が多いです。

chiilabo.com

ルーターの設定画面に接続したら「安全ではありません」 大丈夫？ 【SSLの意味】

質問スマートフォンからWi-Fiルーターの「クイック設定WEB」に接続しました。ブラウザ画面の上部バーに 「安全ではありません」と表示されました。ユーザー名とパスワード入力しましたが、大丈夫でしょうか？ブラウザに「安全ではありません」と表示されると、たしかにびっくりしますよね。ですが、通常は問題ないです。結論ルーターにはセキュリティ証明書はないが、メーカーを信頼して大丈夫。セキュリティ証明書があるかどうか？ブラウザの表示する「安全ではありません」というのは、「セキュリティ証明...

chiilabo.com

1. Privacy Warning – This network is blocking encrypted DNS traffic. The names of websites and other servers your device accesses on this network may be monitored and recorded by other devices on this network.
2. （iOS14では、）DNSトラフィックを暗号化できるようになり、それによってネットワークトラフィックを見ている他人にDNSエントリが見られないようすることが可能になりました。 – Enable encrypted DNS – WWDC20 – Videos – Apple Developer
3. iOS14以降、特に15以降は頻繁に起こる現象で、１回以上サイトやアプリでルーター側が何らかのブロックをした経験があると表示されるようです。 – 祭＠ё＠あひるさん / X（2021年11月22日）
4. WHY ipad 再起動してWifi 繋げたら「プライバシーに関する警告」と出て iPhone の方はでていないのに急になんなの とりあえずルーター再起動して警告出ない方に接続 問題ないと思っても警告が目に入るのは不安になるからとりあえず自分でできる対策は完了 – iam_ともっちさん / X（2024年5月22日）
5. この警告文には「暗号化通信をブロック」して結局どうなるの？ということが書かれていませんね。「DNS接続の際に暗号化通信が出来ないwifiネットワークため、”平文のDNSを使用します”」ということでしょう。 – iPhoneの設定でWi-Fiのとこを開いたらプライバシーの警告とい… – Yahoo!知恵袋
6. DNS漏洩テスト：漏洩を検出＆解決 | ExpressVPN
7. ただし、環境によって異なる場合があります。ルーターの設定を確認する必要があります。例えば、いったんルーター内のDNSサーバーに接続し、そこからプロバイダーのDNSサーバーに問い合わせるような設定の場合もあります。

QRコードを読み込むと、関連記事を確認できます。