自宅で iPhone のWi-Fi 設定画面をみると、昨夜はじめて「プライバシーに関する警告」というメッセージが表示されました。
確認してみると、「このネットワークは暗号化されたDNSのトラフィックをブロックしています」と表示されます。
昨日までは変わりなかったと思うのですが、大丈夫ですか?
iPhone内のアプリが「暗号化通信を試みて失敗した」かもしれませんが、自宅のWi-Fi であれば、基本的に問題ないと考えます。
今回は、インターネット接続での「DNS」と「DNSの暗号化」の役割について、見てみましょう。
iOS14のDNSトラフィックの暗号化
iOS14 以降のiPhoneでは、Wi-Fiの警告に「プライバシーに関する警告」が表示されるようになりました。
警告を読んでみると、「対象のWi-Fiネットワークで、DNSを暗号化して通信しようとして失敗した」という意味のようです。
プライバシーに関する警告
このネットワークは暗号化されたDNSトラフィックをブロックしています。デバイスがこのネットワーク上でアクセスするWebサイトやほかのサーバーの名前は、このネットワーク上のほかのデバイスによって監視および記録される場合があります。
日本語のメッセージがわかりにくいので、英文で警告文を確認してみますが、ほとんど同じ内容でした。
Privacy Warning
This network is blocking encrypted DNS traffic.
The names of websites and other servers your device accesses on this network may be monitored and recorded by other devices on this network.
ここでポイントになるのは、「DNS通信の暗号化がうまくできていない」ということです。
この警告文は、iOS14に「DNS通信の暗号化」という新機能が付け加えられたために表示されるようになりました。逆に言うと、iOS14は2020年9月16日にリリースされたので、それより前のOSではこの警告は表示されません。
(iOS14では、)DNSトラフィックを暗号化できるようになり、それによってネットワークトラフィックを見ている他人にDNSエントリが見られないようすることが可能になりました。
Enable encrypted DNS – WWDC20 – Videos – Apple Developer
傍受される危険性があるのは通信内容のすべてというわけではありません。「アクセスするWebサイトやほかのサーバーの名前」が暗号化されていない部分で、ウェブページの通信内容は通常通り保護されます。
表示されたり、されなかったり
この「DNS通信の暗号化できていない警告」の厄介なところは、表示されたり、しなかったりすることです。
同じWi-Fiに接続しても、ある日 突然 表示されたり、電源を入れ直すと警告が消えたり、と表示のタイミングがランダムです。
ですので、現時点(2021年12月28日)では、この警告自体がちょっと信頼できない状態です。
今のところは、そこまで心配しないても良いと思います。
インターネット通信でのDNSの役割
「DNS(Domain Name System)」とは、URLをIPアドレスに変換するシステムで、ウェブページなどにアクセスする前段階として、宛先のウェブサーバを特定するのに使われます。
いわば、ドメイン名から所在地を探すための巨大な住所録です。
プロバイダのDNSサーバ
この住所録はスマホには収まりきらないので、通常は、インターネット プロバイダのDNSサーバを利用しています。
例えば、自宅のルータからインターネットに接続する場合、まずプロバイダのDNSサーバに聞きに行くことになります。次に、そこで教えてもらったIPアドレスに対して通信します。
インターネット通信は、DNSサーバから送られたIPアドレスを元に組み立てられます。
ルータには「行きつけ」のDNSサーバがある
接続するDNSサーバは、IPアドレスで指定する必要があります。ただ、いちいちスマホやパソコンでDNSサーバのIPアドレスを指定しなくても、インターネットにつなぐことができます。
それは、ルータの設定には、DNSサーバのIPアドレスが記録されているからです。
例えば、ルータをリセットしてインターネットに接続できなくなったときは、このDNSサーバなどプロバイダの接続設定をやり直す必要があります。
モバイルデータ通信の場合も、基本的には同じで、まず通信会社のDNSサーバに接続しています。
DNSサーバがないとウェブサイトにアクセスできない
逆に、DNSサーバにうまく接続できないと、ウェブサイトにアクセスにアクセスできません。
「ERR_NAME_NOT_RESOLVED(ドメイン名が解決できない)」というエラーになります。
このサイトにアクセスできません
〜のサーバーのIPアドレスが見つかりませんでした。
次をお試しください
接続を確認するERR_NAME_NOT_RESOLVED
ルータに設定したDNSサーバのIPアドレスが間違えていたり、インターネット回線が不調な場合に、このエラーが表示されます。
なにもしていないのに、このエラーが出る場合は、一時的にインターネット回線やルータが不調になっている場合が多いです。
ドメイン名をIPアドレスに変換することを「解決(resolve)」といいます。
DNS over HTTPとDNS over TLS
「DNSトラフィック」は、DNSサーバにIPアドレスを聞きに行くときの通信です。
最近は、この「DNSに確認するURLについても、HTTPSなどのように暗号化しよう」という流れがあります。
宅配便の「匿名配送」みたいな感じね。
暗号化には、 DoH、DoT という方法があります。
「セキュリティ証明書や公開鍵・非公開鍵によってDNS通信を暗号化する」という仕組みはどちらも同じです。というのも、HTTPSも、暗号化の仕組みはTLSを利用しているからです。
では何が違うかというと、利用するポートです。ポートは、「サーバの窓口番号」のようなもので、通信規約によって対応する番号を選びます。
「DNS over HTTPS」では、Webサイトなどと通信するポート(443番)を使います。
それに対して、「DNS over TLS」は、特別なポート(853番)を使っているのです。
ちなみに、平文のDNSは、53番ポートを利用しています。
DNSSEC
今回は関係ないですが、似たようなDNSに関するセキュリティ技術に、「DNSSEC(DNSのセキュリティ拡張:Domain Name System Security Extensions)」があります。
これは、DNSトラフィックの暗号化とは別のアプローチで、DNSサーバに偽の情報が記録されないようにするための仕組みです。
DNSサーバに記録されたIPアドレスが、正しいかどうかを検証するための署名情報などを付与します。
DNSの暗号化は必要?
これまでは、DNSに確認するURLは、暗号化されていませんでしたが、大きな問題にはなっていませんでした。それは、個人宅からプロバイダのDNSサーバまでの経路は、基本的に通信会社の設備しかないので、比較的安全だからです。
もちろん、弱点が全くないわけではありません。
・自宅内のWi-Fi の区間
・集合住宅の共用設備
もし、Wi-Fiが暗号化されていなかったり、共用設備に侵入されてしまうなど、悪条件が重なると、「どのサイトに接続しているのか」という情報が傍受されてしまう可能性があります。
しかし、iPhoneやWi-Fiルータのセキュリティを正しく設定していれば、現時点ではそこまで現実的な脅威ではありません。それもあって多くのプロバイダでは、まだDNSの暗号化には対応していません。
信頼できるDNSサーバが「手前」にあれば、問題はない。
公衆Wi-FiとパプリックDNS
むしろ、DNS通信の暗号化がより必要になるのは、「公衆Wi-Fi」を利用する場合です。「DNS通信の暗号化」は「公衆Wi-Fi をいかに安全に使うか」という工夫の一つとも言えます。
「そもそも外出時には Wi-Fi に接続しない」という人には、あまり関係ありません。
仕事内容によっては、出張先のホテルやインターネット・カフェなどで 公衆Wi-Fi を利用するケースがある方もいます。
公衆Wi-Fi は、個人宅のWi-Fiルータに比べて、「どのような設定がされているかわからない」という危険性があります。接続するDNSサーバについても、本当に信頼できるものかわかりません。もし、Wi-Fiが 悪意のあるDNSサーバを使っている場合、偽サイトに誘導されても気づきません。
パブリックDNS経由でアクセスする
そこで、Wi-Fiルータに設定されているDNSサーバをそのまま信用するのではなく、
スマホ側で信頼できるDNSサーバを指定する、という方法があります。
インターネット上には、誰でも利用できる「パブリックDNS」があり、固有のIPアドレスが公開されています。例えば、Cloudflare社などの「1.1.1.1」、Google社の「8.8.8.8」、 IBM社などが共同運営する「9.9.9.9」などです。
このような信頼できるDNSを経由して、ウェブページにアクセスすれば、偽サイトに誘導される危険性を減らすことができます。
パブリックDNSまで通信を保護する
ただし、このパブリックDNSを経由する方法にも弱点があります。
それは、端末からパブリックDNSまでが遠いために、ほかのサーバを経由する必要があることです。
このため、プロバイダのDNSに比べて、途中経路での傍受の危険性が高まります。
そこで出てくるのが「DNS通信の暗号化」です。DNS暗号化ができれば、外部のDNSまでの経路を安全に通信できるからです。
iOS 14でDNS暗号化をネイティブサポートしたことで、「280blocker」や「AdGuard」がiOS 14を対象に暗号化されたDNSサービスを提供しています。
iOS 14でDNS暗号化に対応 重要性と暗号化方式を解説 | Parity-Blog.info
まとめ
基本的に自宅のWi-Fiであれば、プライバシーに関する問題」は、そこまで気にする必要はないです。
ただ、古いWi-Fiルータの場合はセキュリティが弱い場合があるので、この機会にファームウェアのバージョンの更新を確認してみましょう。更新することで改善されることもあります。
また、「プライバシーに関する警告」は誤表示のケースもあるようで、iPhoneを再起動すると表示されなくなる場合もあります(ただし、時間が経つとまた表示されることもある)。
こちらもどうぞ
