DNS リーク
DNS リーク とは何ですか?
DNS リークDNS クエリが VPN や Tor のトンネルを迂回し、ユーザーの ISP や既定リゾルバへ平文で送信されてしまうプライバシー上の不具合。
DNS リークは、暗号化されたトンネルを通るはずの名前解決トラフィックがトンネルの外に漏れ、ユーザーが訪れる全ドメインが ISP・公衆 Wi-Fi・DNS 事業者に露出する状態を指します。典型的な原因は、スプリットトンネル設定、VPN が IPv4 しか扱わないのに IPv6 が有効になっていること、Windows のマルチホームド解決が全インターフェイスへ並列にクエリを送ること、OS のスマートリゾリューション機能などです。Web トラフィックが HTTPS で暗号化されていても、DNS のメタデータは閲覧パターンを露呈し、検閲や追跡に利用されます。対策としては、すべての DNS をトンネル経由に強制する、ファイアウォールでシステムリゾルバを遮断する、対応していない場合は IPv6 を無効化する、VPN リゾルバ向けの DoH や DoT を使う、などがあります。
● 例
- 01
VPN クライアントが IPv4 の DNS だけをトンネルへ送り、IPv6 のクエリは ISP のリゾルバへ漏らす。
- 02
Windows がイーサネットと VPN アダプタの両方で並列に DNS 解決を行い、訪問先ドメインを暴露する。
● よくある質問
DNS リーク とは何ですか?
DNS クエリが VPN や Tor のトンネルを迂回し、ユーザーの ISP や既定リゾルバへ平文で送信されてしまうプライバシー上の不具合。 サイバーセキュリティの プライバシーとデータ保護 カテゴリに属します。
DNS リーク とはどういう意味ですか?
DNS クエリが VPN や Tor のトンネルを迂回し、ユーザーの ISP や既定リゾルバへ平文で送信されてしまうプライバシー上の不具合。
DNS リーク はどのように機能しますか?
DNS リークは、暗号化されたトンネルを通るはずの名前解決トラフィックがトンネルの外に漏れ、ユーザーが訪れる全ドメインが ISP・公衆 Wi-Fi・DNS 事業者に露出する状態を指します。典型的な原因は、スプリットトンネル設定、VPN が IPv4 しか扱わないのに IPv6 が有効になっていること、Windows のマルチホームド解決が全インターフェイスへ並列にクエリを送ること、OS のスマートリゾリューション機能などです。Web トラフィックが HTTPS で暗号化されていても、DNS のメタデータは閲覧パターンを露呈し、検閲や追跡に利用されます。対策としては、すべての DNS をトンネル経由に強制する、ファイアウォールでシステムリゾルバを遮断する、対応していない場合は IPv6 を無効化する、VPN リゾルバ向けの DoH や DoT を使う、などがあります。
DNS リーク からどのように防御しますか?
DNS リーク に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
DNS リーク の別名は何ですか?
一般的な別名: DNS バイパス, リゾルバリーク。
● 関連用語
- privacy№ 1214
VPN リーク
VPN トンネルの不具合により、IP・DNS・IPv6・WebRTC など個人を特定しうる通信が暗号化通路の外に漏れてしまう現象。
- privacy№ 1231
WebRTC による IP リーク
WebRTC の STUN/ICE の仕組みにより、VPN やプロキシ越しでもユーザー本来のローカルおよびグローバル IP アドレスがブラウザから漏れてしまう問題。
- network-security№ 340
DNS over HTTPS (DoH)
DNS クエリを HTTPS の中に載せて暗号化する仕組みで、経路上の観察者による盗聴や改ざんを防ぐ。
- network-security№ 341
DNS over TLS (DoT)
専用の TLS セッション内で DNS クエリを暗号化し、ネットワーク上での盗聴や改ざんを防ぐプロトコル。
● 関連項目
- № 1215VPN スプリットトンネリング
- № 1213VPN キルスイッチ