DoH を有効にすると、VPN は不要になりますか？

いいえ、DoH は VPN の代替にはなりません。DoH が保護するのは DNS クエリの暗号化のみです。実際の IP アドレスは引き続き訪問先のウェブサイトに表示され、トラフィックの暗号化や IP アドレスの匿名化は行われません。完全なプライバシー保護と通信の暗号化には、引き続き VPN が必要です。

DoH を使用しているにもかかわらず DNS リークが発生することはありますか？

はい、発生する可能性があります。VPN との組み合わせ方や設定によっては、一部のクエリが DoH を経由せずに送信されることがあります。VPN が内部で DoH を実装しているか、または DNS リーク対策機能を備えていることを確認することが重要です。専用の DNS リークテストツールを使用して定期的に確認することをお勧めします。

DoH と DoT はどちらを使うべきですか？

一般的なユーザーには DoH が推奨されることが多いです。DoH はポート 443 番を使用するため通常の HTTPS トラフィックに紛れ込み、ブロックされにくい特徴があります。また、Firefox や Chrome などの主要ブラウザに標準で組み込まれているため、設定が容易です。ネットワーク管理者が DNS トラフィックを可視化・制御したい企業環境では、DoT の方が適している場合があります。

DoH はすべてのブラウザで使えますか？

主要なブラウザでは利用可能です。Firefox、Chrome、Edge では設定メニューから DoH を有効にできます。ただし、ブラウザレベルの DoH はブラウザのトラフィックのみを保護します。システム全体の DNS クエリを暗号化するには、Windows 11 や Android などの OS レベルの DoH 設定を有効にするか、DoH に対応した VPN を使用する必要があります。

DNS over HTTPS (DoH)

DNS over HTTPS (DoH)：その概要と重要性

ブラウザにウェブサイトのアドレスを入力するたびに、あなたのデバイスは「このドメインの IP アドレスは何か？」という問い合わせを送信します。この問い合わせは DNS クエリと呼ばれ、数十年にわたってインターネット上をプレーンテキストで伝送されてきました。つまり、ネットワークを監視している人物であれば誰でも内容を見ることができる状態でした。DNS over HTTPS (DoH) は、この問題を解決するために開発されました。

DoH とは

DNS over HTTPS は、DNS クエリを暗号化された HTTPS トラフィックの中に包み込むプロトコルです。これは、銀行へのログインやオンラインショッピングの際に使用されるものと同じ種類の暗号化です。DNS リクエストが公開された状態で送信される代わりに、セキュアな HTTPS 接続の中にまとめられ、DoH 対応の DNS リゾルバーに送信されます。外部の観察者からは、このトラフィックは通常のウェブ閲覧と区別がつきません。

DoH は 2018 年に Internet Engineering Task Force (IETF) によって RFC 8484 として標準化され、その後 Firefox、Chrome、Edge などの主要ブラウザや、Windows 11、Android などのオペレーティングシステムに組み込まれています。

仕組み

基本的な流れは以下のとおりです：

ブラウザに `example.com` と入力します。
ISP の DNS サーバーにポート 53 番でプレーンテキストの UDP リクエストを送信する代わりに、デバイスはポート 443 番で DoH リゾルバー（Cloudflare の `1.1.1.1` や Google の `8.8.8.8` など）に暗号化された HTTPS リクエストを送信します。
リゾルバーが IP アドレスを検索し、引き続き HTTPS で暗号化された状態で回答を返します。
ブラウザがウェブサイトに接続します。

クエリには標準的な HTTPS ポートであるポート 443 番が使用されるため、通常のウェブトラフィックに紛れ込みます。ISP、ネットワーク管理者、または不正な Wi-Fi ホットスポットを運営している人物など、ネットワーク上でパッシブに監視している観察者は、あなたの DNS ルックアップを他の HTTPS トラフィックから簡単に識別することができません。

VPN ユーザーにとっての重要性

すでに VPN を使用している場合、DoH は必要なのかと疑問に思うかもしれません。これはもっともな疑問であり、答えはあなたの環境によって異なります。

VPN を使用していない場合、DoH はプライバシーの面で大きな改善をもたらします。ISP はあなたが訪問するすべてのドメインを簡単に記録できなくなります。これは、多くの国で ISP が閲覧データを収集・販売することが許可されている、あるいは義務付けられていることを考えると、特に重要です。

VPN を使用している場合、DNS クエリはすでに VPN トンネルを経由してルーティングされ、VPN プロバイダー独自の DNS サーバーによって解決されるはずです。しかし、VPN 接続が切断されたり、設定が誤っていたりすると、DNS リークが発生する可能性があります。この場合、デバイスはトンネルの外で DNS クエリを送信するようにフォールバックし、あなたのアクティビティが露出してしまいます。VPN と併せて DoH を使用する（または内部的に DoH を実装している VPN を選択する）ことで、こうしたリークに対する保護層をさらに追加できます。

また、DoH 単体は VPN の代替にはならない点にも注意が必要です。DoH が暗号化するのはドメインのルックアップ段階のみです。実際の IP アドレスは訪問したウェブサイトに対して引き続き表示され、ISP は接続先の IP アドレスを確認できます。ただし、それらの接続のきっかけとなったドメイン名は必ずしも把握できるとは限りません。

実践的な使用例とユースケース

公共 Wi-Fi：カフェや空港のネットワークに接続している場合、DoH によってネットワーク事業者があなたの DNS クエリを記録したり、改ざんされたサーバーにリダイレクトしたりすることを防げます。
基本的な検閲の回避：一部の ISP は DNS クエリを傍受することでウェブサイトをブロックしています。DoH はクエリを暗号化して外部リゾルバーに送信するため、DNS レベルのブロックを回避できます（ただし、強固な検閲機関は DoH リゾルバーを IP アドレスでブロックすることも可能です）。
ブラウザレベルの保護：Firefox と Chrome では、設定から直接 DoH を有効にできます。VPN に接続していない場合でも、暗号化された DNS を利用できます。
企業環境：DoH は内部の DNS 制御を回避できるため、ネットワーク管理者の間でしばしば議論の的となります。多くの組織では、パブリックリゾルバーではなく承認された内部リゾルバーを経由するよう DoH を設定しています。

DoH と DoT の比較

DoH は、もう一つの DNS 暗号化プロトコルである DNS over TLS (DoT) と比較されることが多くあります。どちらも DNS トラフィックを暗号化しますが、DoT はネットワーク管理者が識別・フィルタリングしやすい専用ポート（853 番）を使用します。DoH は通常の HTTPS トラフィックに紛れ込むため、ブロックが難しくなります。これはプライバシーの観点からは強みである一方、ネットワーク管理の面では懸念事項となります。

DNS over HTTPS (DoH)中級

DNS over HTTPS (DoH)：その概要と重要性

DoH とは

仕組み

VPN ユーザーにとっての重要性

実践的な使用例とユースケース

DoH と DoT の比較

// FAQ