「DNS over TLS」から「DNS over HTTPS」へ
広く行われるようになったDNSトランザクションの濫用や悪用、監視への対抗策として、インターネットで活用される技術の標準を策定する組織であるInternet Engineering Task Force(IETF)のDNSプライバシーワーキンググループでは、DNSトランザクションの暗号化に関する標準化に取り組んできた。その最初の成果は、TCPポート853番を使う「DNS over TLS」(DoT)だ(RFC7858)。
従来のDNSでは下位プロトコルとして暗号化されないUDPを用いているが、DoTでは、通信相手の正当性や経路上での盗聴や改ざんがないことを保証するプロトコルであるTLS(Transport Layer Security)をベースに、DNSトランザクションを暗号化する。
DoTは、従来のDNSが抱えていたセキュリティやプライバシー上の問題を解決するにあたって有効な機能を持っているが、利用にあたってはDNSの主要な機能の一部である「リゾルバ」の変更が必要なこと、ネットワークに新たな通信ポートを開く必要があることなどから、導入や普及に時間とコストが掛かるのを懸念する声もあるという。
そこで、より導入が容易なDNSトラフィック暗号化のための仕様として標準化されたのが、ウェブブラウザなどで使われているHTTPSを利用してDNS解決を行う「DNS over HTTPS」(DoH)だ(RFC8484)。
DNS over HTTPSの構成イメージ
このDoHについて、Vixie氏は「政治的なプロジェクトであり、技術的なプロジェクトではない」と懐疑的な立場をとる。
「(DoHでは)スタブリゾルバからRDNSへのトラフィックを暗号化するが、その後のフローを暗号化しない。実際にはプライバシー保護に関して何ら新たな要素を付け加えるものではない。監視者が盗聴しようと思えば、その後に起こるやり取りから、DNSの回答を推測することができる。複数の回答から質問を推測することは簡単なデータサイエンスだ。監視者の囲いから抜け出そうと思えばVPNが必須だが、もしVPN上で通信を行うのであれば、DoHの付加価値は何なのだろうか」(Vixie氏)
また、DoHでは、RDNSフィルタリングによるコンテンツ管理やセキュリティ管理を行いたいと考える組織の管理者、RDNS監視を通じてマルウェアの発見や駆除に役立てようとするセキュリティチーム、国民の情報アクセスを監視しようとする政府、DNSへの問い合わせをターゲティング広告に利用したいISPなどのオペレーターを一切区別できないことも問題だという。
「Resolverless DNS」で脅かされるのはセキュリティだけではない
Vixie氏がさらに強く危惧するのが、近年ウェブコミュニティーを中心に関心が高まっており、それを受けて、IETFの姉妹団体であり研究が目的のInternet Research Task Force(IRTF)でも研究に取り組んでいるという「Resolverless DNS」という新たな仕組みだ。
Resolverless DNSでは、通常のウェブコンテンツフェッチの一部として、サーバーからDNSデータがクライアントにプッシュされる。ウェブコンテンツプロバイダーやコンテンツ配信網(CDN)プロバイダーは、DNSによる名前解決のパフォーマンスのさらなる向上を望んでいるが、Resolverless DNSは、ウェブブラウザのコンテンツキャッシュに類した仕組みで、そのニーズに対応できるものになるといい、現状、このアプローチに対する技術的な障壁はほとんどないと見られている。
この際、HTTPS(TLS)によって保護されているセッションは十分に「セキュア」であると見なされ、DNSについてデータ作成元の認証やデータの完全性を確認するための拡張仕様である「DNSSEC」については不要とされる方向にあるという。Vixie氏は「これによって、ウェブサイト改ざんによる攻撃対象が大幅に拡大する恐れがある」と警告する。
