DNS のセキュリティ改善計画に関する誤解を解く
2019年11月20日水曜日
この記事は Chrome プロダクト マネージャー、Kenji Baheux による Chromium Blog の記事 "Addressing some misconceptions about our plans for improving the security of DNS" を元に翻訳・加筆したものです。詳しくは元記事をご覧ください。
ブラウザに URL を入力すると(たとえば「redcross.org」)、その情報がドメイン ネーム システム(DNS)プロバイダに送られ、リクエストは一意な数値の「IP アドレス」(例: 162.6.217.119)に変換されます。この IP アドレスが、インターネット上のウェブサイトを識別しています。その後、ブラウザは数値の IP アドレスを使い、皆さんが探しているサイトを開きます。残念なことに、現在のブラウザから DNS プロバイダへのリクエストは暗号化されておらず(他人によるパッシブ モニタリングに対して無防備)、認証もされていません(オンラインの攻撃者に対して無防備)。カフェや空港などのパブリック Wi-Fi に接続している場合、特にその点に注意すべきです。皆さんがアクセスするウェブサイトは、ネットワークを使っているすべての人が表示およびトラッキングできるだけでなく、皆さんのブラウザが悪意のあるサイトにリダイレクトされる可能性まであるからです。
9 月に、ある実験を Chrome で行うことをお知らせしました。この実験では、DNS-over-HTTPS(DoH)をサポートしている DNS プロバイダを既に使用しているユーザーが DoH による安全な DNS 接続を使用できるようにして、オンラインのプライバシーとセキュリティを強化することが目的です。DoH は、セキュリティとプライバシーの向上に向けたステップの 1 つとしてインターネット標準コミュニティによって開発されており、ブラウザと DNS プロバイダ間のトラフィックを暗号化します。悪意のある者が同じネットワーク上の他のユーザーのブラウジング動作を監視する際に使う手法の 1 つを排除できるので、プライバシーが向上します。また、DoH は DNS ルックアップにおける中間者攻撃の防止に役立つので、セキュリティも大幅に向上します。プライバシーを重視する組織やジャーナリスト、他のブラウザのプロバイダ、インターネット サービス プロバイダ(ISP)の多くが、この変更によってプライバシーとセキュリティが向上することに賛同しています。
残念なことに、私たちのアプローチの目的や、ISP が提供する既存のコンテンツ制御に DoH が影響を与えるかどうかについて、多少の誤解や混乱が発生しています。混乱の原因となっているのは 2 つの主張ですが、ここではその両方に対処したいと思います。
最初の主張は、Google がユーザーの DNS トラフィックを Google の DNS やその他の DoH 対応 DNS プロバイダにリダイレクトしようとしているというものです。この主張は誤りです。私たちはユーザーの選択肢とユーザーによる制御を重視しているので、DNS プロバイダの変更を強制するような計画はありません。現在のところ、ユーザーによる DNS のニーズの約 97% は ISP が処理していますが、多くの独立した DNS プロバイダも存在しています。こういったサービス プロバイダがユーザーのニーズや懸念に対応できている限り、多様なエコシステムが維持されることになるでしょう。私たちが行っているのは、ユーザーが選択した DNS プロバイダが DoH を提供している場合に、Chrome で安全な DoH 接続のサポートを有効にすることだけです。Chrome はユーザーの DNS プロバイダが実験に参加している DoH 対応プロバイダのリストに含まれているかどうかをチェックし、含まれていれば DoH を有効化します。DNS プロバイダがリストに掲載されていない場合、Chrome は DoH を有効化せず、現在の動作を続けます。DoH の採用が増えるにつれて、DoH 対応の DNS プロバイダの数も増えるはずです。
2 つ目の主張は、安全な DoH 接続が導入されると、一部の ISP が提供している家族向けのコンテンツ制御が制限されるというものです。実際には、DNS プロバイダが行っている既存のコンテンツ制御は、子ども向けの保護も含め、すべてそのまま動作するはずです。DoH によって URL データが保護されるのは、そのデータがブラウザと DNS プロバイダとの間を移動する間だけです。そのため、プロバイダが提供する不正なソフトウェアからの保護やペアレンタル コントロール機能は、今までと同じように動作し続けます。その証拠として、CleanBrowsing は暗号化されていないサービスと同じペアレンタル コントロール機能を DoH サービスでも提供しています。
先月お伝えしたように、この実験では段階的なアプローチを取っています。現在の計画では、DoH のサポートが有効になるのはユーザーの 1% だけで、既に DoH 対応の DNS プロバイダを使っていることが条件です。これにより、Google と DoH プロバイダは DoH のパフォーマンスと信頼性をテストできます。また、ユーザーからのフィードバックや、ISP などのステークホルダーからのフィードバックにも注目しています。学校や企業などで使われているマネージド Chrome リリースのほとんどは、デフォルトで実験の対象外になります。管理者が機能を制御できるポリシーも提供しています。さらに、Chrome 79 以降のユーザーは、chrome://flags/#dns-over-https から DoH の実験を完全にオプトアウトすることもできます。
私たちは、DoH によってユーザーのプライバシーやセキュリティが向上することについて楽観的に考えています。ただし、DNS の重要性や、私たちが予見していなかった実装上の懸念もありえることは理解しています。そのため、計画は慎重かつ透過的に進める予定です。私たちはフィードバックや建設的な協力関係を歓迎します。DoH の導入によって意図しない結果が生まれないよう、ISP や DNS プロバイダ、そしてインターネットや子どもの安全を擁護する団体などのステークホルダーと連携しながら進めてまいります。
Reviewed by Eiji Kitamura - Developer Relations Team
ブラウザに URL を入力すると(たとえば「redcross.org」)、その情報がドメイン ネーム システム(DNS)プロバイダに送られ、リクエストは一意な数値の「IP アドレス」(例: 162.6.217.119)に変換されます。この IP アドレスが、インターネット上のウェブサイトを識別しています。その後、ブラウザは数値の IP アドレスを使い、皆さんが探しているサイトを開きます。残念なことに、現在のブラウザから DNS プロバイダへのリクエストは暗号化されておらず(他人によるパッシブ モニタリングに対して無防備)、認証もされていません(オンラインの攻撃者に対して無防備)。カフェや空港などのパブリック Wi-Fi に接続している場合、特にその点に注意すべきです。皆さんがアクセスするウェブサイトは、ネットワークを使っているすべての人が表示およびトラッキングできるだけでなく、皆さんのブラウザが悪意のあるサイトにリダイレクトされる可能性まであるからです。
9 月に、ある実験を Chrome で行うことをお知らせしました。この実験では、DNS-over-HTTPS(DoH)をサポートしている DNS プロバイダを既に使用しているユーザーが DoH による安全な DNS 接続を使用できるようにして、オンラインのプライバシーとセキュリティを強化することが目的です。DoH は、セキュリティとプライバシーの向上に向けたステップの 1 つとしてインターネット標準コミュニティによって開発されており、ブラウザと DNS プロバイダ間のトラフィックを暗号化します。悪意のある者が同じネットワーク上の他のユーザーのブラウジング動作を監視する際に使う手法の 1 つを排除できるので、プライバシーが向上します。また、DoH は DNS ルックアップにおける中間者攻撃の防止に役立つので、セキュリティも大幅に向上します。プライバシーを重視する組織やジャーナリスト、他のブラウザのプロバイダ、インターネット サービス プロバイダ(ISP)の多くが、この変更によってプライバシーとセキュリティが向上することに賛同しています。
残念なことに、私たちのアプローチの目的や、ISP が提供する既存のコンテンツ制御に DoH が影響を与えるかどうかについて、多少の誤解や混乱が発生しています。混乱の原因となっているのは 2 つの主張ですが、ここではその両方に対処したいと思います。
最初の主張は、Google がユーザーの DNS トラフィックを Google の DNS やその他の DoH 対応 DNS プロバイダにリダイレクトしようとしているというものです。この主張は誤りです。私たちはユーザーの選択肢とユーザーによる制御を重視しているので、DNS プロバイダの変更を強制するような計画はありません。現在のところ、ユーザーによる DNS のニーズの約 97% は ISP が処理していますが、多くの独立した DNS プロバイダも存在しています。こういったサービス プロバイダがユーザーのニーズや懸念に対応できている限り、多様なエコシステムが維持されることになるでしょう。私たちが行っているのは、ユーザーが選択した DNS プロバイダが DoH を提供している場合に、Chrome で安全な DoH 接続のサポートを有効にすることだけです。Chrome はユーザーの DNS プロバイダが実験に参加している DoH 対応プロバイダのリストに含まれているかどうかをチェックし、含まれていれば DoH を有効化します。DNS プロバイダがリストに掲載されていない場合、Chrome は DoH を有効化せず、現在の動作を続けます。DoH の採用が増えるにつれて、DoH 対応の DNS プロバイダの数も増えるはずです。
2 つ目の主張は、安全な DoH 接続が導入されると、一部の ISP が提供している家族向けのコンテンツ制御が制限されるというものです。実際には、DNS プロバイダが行っている既存のコンテンツ制御は、子ども向けの保護も含め、すべてそのまま動作するはずです。DoH によって URL データが保護されるのは、そのデータがブラウザと DNS プロバイダとの間を移動する間だけです。そのため、プロバイダが提供する不正なソフトウェアからの保護やペアレンタル コントロール機能は、今までと同じように動作し続けます。その証拠として、CleanBrowsing は暗号化されていないサービスと同じペアレンタル コントロール機能を DoH サービスでも提供しています。
先月お伝えしたように、この実験では段階的なアプローチを取っています。現在の計画では、DoH のサポートが有効になるのはユーザーの 1% だけで、既に DoH 対応の DNS プロバイダを使っていることが条件です。これにより、Google と DoH プロバイダは DoH のパフォーマンスと信頼性をテストできます。また、ユーザーからのフィードバックや、ISP などのステークホルダーからのフィードバックにも注目しています。学校や企業などで使われているマネージド Chrome リリースのほとんどは、デフォルトで実験の対象外になります。管理者が機能を制御できるポリシーも提供しています。さらに、Chrome 79 以降のユーザーは、chrome://flags/#dns-over-https から DoH の実験を完全にオプトアウトすることもできます。
私たちは、DoH によってユーザーのプライバシーやセキュリティが向上することについて楽観的に考えています。ただし、DNS の重要性や、私たちが予見していなかった実装上の懸念もありえることは理解しています。そのため、計画は慎重かつ透過的に進める予定です。私たちはフィードバックや建設的な協力関係を歓迎します。DoH の導入によって意図しない結果が生まれないよう、ISP や DNS プロバイダ、そしてインターネットや子どもの安全を擁護する団体などのステークホルダーと連携しながら進めてまいります。
Reviewed by Eiji Kitamura - Developer Relations Team
