DNS over HTTPSでプライバシーを保護する
ーコラムー
2020年6月3日号
CloudflareではDoH(DNS over HTTPS)の使用をサポートする機能が無料で提供されています。DNSプロトコルは平文でやり取りされており、改竄や盗聴の恐れがあることが、かねてより指摘されていました。つまり、どんなサイトへアクセスしているのかを知られたり、偽のサイトへ誘導される恐れがあります。DNS over HTTPSではDNSの通信をHTTPSでカプセリングし通信内容を暗号化することで攻撃やプライバシーの侵害から守ることが出来ます。
設定方法は以下の通りです。
【DoH対応ブラウザの場合】
現時点ではFireFoxがDoHに対応しています。(下記の設定が表示されない場合はまずバージョンアップを実施して下さい)
以下の設定をすることで、FireFoxの通信においてはパソコンに設定されたDNSを使わなくなります。
ツール → オプション を選択し設定画面を開きます。
ネットワーク設定の「接続設定」をクリックします。
「DNS over HTTPSを有効にする」をチェックします。(使用するDNSはデフォルトでCloudflareになっています)
https://www.cloudflare.com/ssl/encrypted-sni/ を開き、「Check My Browser」をクリックします。
Secure DNSのところが緑色のチェックマークになればOKです。
【DoH未対応ブラウザの場合】
Cloudflareが提供するcloudflared.exeを使うことでDoH対応にすることが出来ます。
以下の手順を実施することで、パソコン内の全てのプログラムの名前解決がDoH対応になります。
以下のURLよりcloudflaredをダウンロードします。
https://developers.cloudflare.com/argo-tunnel/downloads/
ここではWindows版の説明をします。
ダウンロードしたZipファイルを解凍したらcloudflared.exeが出てきます。コマンドプロンプトから以下のようにcloudflared.exeを実行します。
<コマンド>
cloudflared.exe proxy-dns
<実行例>
コマンドを実行したら、パソコンのDNS設定を127.0.0.1へ変更し、完了です。
FireFoxの場合同様、https://www.cloudflare.com/ssl/encrypted-sni/から確認できます。
上記のようにコマンドプロンプトから直接実行せず、以下のコマンドでcloudflaredをサービス化しておけばパソコン起動時に毎度実行する必要がなくなります。
sc create DoH binpath="C:\Cloudflared\cloudflared.exe proxy-dns"
sc config DoH start=auto
自宅や勤務先でも使えますが、どこかの施設を訪問してゲスト用Wi-fiを利用した際などは特に有効かもしれません。是非使ってみて下さい。
執筆者:角田 貴寛
三井情報株式会社
ソリューション技術本部 次世代基盤第二技術部 第一技術室
CISSP、CEH
現在、セキュリティ関連調査研究・教育業務に従事