跳至主要內容
DNS · 9 分で読めます

DNS over HTTPS (DoH): ウェブトラフィックを暗号化し、プライバシーを強化する

公開日: 2026年3月25日 · 著者: WhoIP.tw Team
コピーしました

インターネット活動はDNSから始まりますが、従来のDNSはあなたの閲覧履歴を露呈させていました。DNS over HTTPS (DoH) はこれらのリクエストを暗号化し、オンラインプライバシーとセキュリティを大幅に向上させます。

基本を理解する:DNSとは何か?

インターネットを巨大な都市と想像してみてください。各ウェブサイトは建物であり、それぞれの建物には固有の住所、つまりIPアドレスがあります。しかし、どこかに行きたいとき、通常は建物の名前(例:whoip.tw)を知っていて、その数値の住所を知っているわけではありません。そこで、名前を番号に変換する「電話帳」が必要になります。

1. DNSクエリ 暗号化なし
2. IPアドレス 平文
3. 露見する
1. DoHクエリ HTTPSで暗号化
2. IPアドレス 暗号化済み
3. 隠蔽される
4. 接続

ユーザーのブラウザ

従来のDNSサーバー

ISP 盗聴者

DoHリゾルバ

ウェブサイトサーバー

インターネットの世界で、この「電話帳」がドメインネームシステム (DNS) です。ブラウザにウェブサイト名を入力すると、お使いのコンピュータはDNSサーバーにリクエストを送信し、そのドメイン名を対応するIPアドレスに変換します。IPアドレスが取得されると、ブラウザは正しいウェブサイトサーバーを見つけて接続できるようになります。これらすべては、あなたがほとんど意識しないうちに行われますが、すべてのインターネット接続の基本的なステップの一つです。

この不可欠なシステムがどのように機能するかについて詳しく知りたい場合は、当社の記事をご覧ください:DNSの仕組み

従来のDNSにおけるプライバシーの隙間

DNSはインターネットにとって極めて重要ですが、その従来の運用方法には深刻なプライバシーの脆弱性があります。それは、あなたのDNSクエリが暗号化されずに送信されているという点です。

これは何を意味するのでしょうか?あなたがコンピュータから「example.comのIPアドレスを探しています」というリクエストを送信する際、このリクエストは平文で送信されます。あなたのネットワーク上の誰でも、つまりインターネットサービスプロバイダ (ISP)、あなたが使用しているWi-Fiホットスポットの運営者、あるいは政府機関でさえも、あなたがアクセスしようとしているウェブサイトを容易に傍受することができます。この行為は「DNSスヌーピング」として知られています。

考えてみてください。たとえ最終的にHTTPSを使用して安全にウェブサイトに接続したとしても(アドレスがhttps://ではなくhttp://と表示される場合)、そのウェブサイトへの最初のDNSクエリは依然として公開されています。これは、電話交換手に誰に電話をかけるかを大声で叫ぶようなものです。その後の会話がプライベートであっても、誰が電話をかけたかは全員が知ることになります。

さらに、暗号化されていないDNSクエリは、次のような悪意のある攻撃に対して脆弱です。

  • DNSハイジャック: 攻撃者はあなたのDNSリクエストを傍受し、正しいURLを入力したとしても、あなたを悪意のあるウェブサイトにリダイレクトすることができます。
  • DNSスプーフィング: 攻撃者は正規のDNSサーバーになりすまし、あなたのコンピュータに誤ったIPアドレスを送信することで、詐欺サイトに誘導することができます。

これらの問題は、従来のDNSにおけるプライバシーとセキュリティの欠陥を浮き彫りにしており、これこそがDNS over HTTPS (DoH) が解決を目指す核心的な問題です。

DNS over HTTPS (DoH) とは何か?

DNS over HTTPS (DoH) は、従来のDNSに内在するプライバシーとセキュリティの問題に対処するために設計された、最新のプロトコルです。簡単に言えば、DoHはHTTPSプロトコルを使用してDNSクエリとその応答を暗号化します。

これは実際には何を意味するのでしょうか?従来のDNSクエリは通常、UDPまたはTCPのポート53を介して送信され、この種類のトラフィックは容易に識別され、傍受されていました。しかし、DoHはDNSクエリを標準的なHTTPSトラフィックの中に「カプセル化」し、TCPのポート443を介して送信します。このポートは、オンラインバンキングやソーシャルメディアなど、日頃から安全なウェブサイトを閲覧する際に使われているポートと同じです。

従来のDNSクエリが、どこに行きたいかを公然と表示したハガキのようなもので、誰でも読める状況だと想像してください。一方、DoHクエリは、封印され暗号化された封筒のようなものです。それはあなたがウェブサイトサーバーに送信する他の多くの安全なウェブサイトリクエストと全く同じに見えるため、傍受者がそれがDNSクエリであると判断したり、その内容を読み取ったりすることは非常に困難です。

[IMAGE: 従来のDNS(DNSサーバーへの非暗号化リクエスト)とDoH(HTTPSトンネルを介してDoHサーバーへの暗号化リクエスト)のフローを比較する図]

この方法で動作することで、DoHはあなたのDNSクエリを大量の暗号化されたHTTPSトラフィックの中に効果的に隠し、監視、傍受、改ざんを著しく困難にします。これにより、オンラインプライバシーとセキュリティが大幅に向上します。

DoHを使用する主なメリット

DoHの導入は、インターネットユーザー、特にプライバシーとセキュリティの面で多くの利点をもたらします。

プライバシーの強化

  • ISPやローカルネットワークによるDNSクエリの傍受から保護する: これがDoHの最も重要な利点です。DoHを使用すると、インターネットサービスプロバイダ (ISP) や、あなたが接続しているローカルネットワーク(例えば公共Wi-Fi)でトラフィックを監視している誰もが、あなたのDNSクエリに基づいてあなたがどのウェブサイトにアクセスしようとしているかを簡単には確認できなくなります。彼らはあなたがDoHリゾルバー(CloudflareやGoogleなど)に接続していることは知るかもしれませんが、そのリゾルバーからどの特定のドメイン名を要求しているかは知ることができません。これにより、あなたのデジタルフットプリントが大幅に削減されます。
  • 閲覧履歴プロファイルの構築を困難にする: DNSクエリを暗号化することで、攻撃者やデータ収集者がDNSトラフィックに基づいてあなたの閲覧履歴プロファイルを作成することが著しく困難になります。
  • オンラインでの身元を保護する方法についてさらに学ぶには、こちらの記事も役立つかもしれません:IPアドレスを保護する方法

セキュリティの向上

  • DNSの改ざんやなりすましから保護する: 暗号化されたDoHリクエストは、攻撃者がDNS応答を傍受したり改ざんしたりするのを著しく困難にします。これにより、悪意のある行為者があなたを偽のウェブサイトや悪意のあるウェブサイトにリダイレクトする可能性が低くなり、フィッシング攻撃やその他のDNS操作に基づく脅威からあなたを保護します。
  • 中間者攻撃 (Man-in-the-Middle, MITM) への耐性: DoHリクエストはTLS/SSL証明書によって保護されているため、DNSリゾルバーの身元を効果的に検証し、攻撃者が正規のDNSサーバーになりすますのを防ぎ、通信の整合性とセキュリティをさらに強化します。

検閲と地域制限の回避

  • DNSレベルのインターネット検閲を回避する: 地域によっては、政府やネットワーク運営者が特定のDNSクエリをブロックすることでインターネット検閲を実施することがあります。DoHトラフィックは通常のHTTPSウェブトラフィックと全く同じに見えるため(どちらもポート443を使用)、個別に識別してブロックすることがはるかに困難です。これにより、状況によっては、DNSレベルで制限されているウェブサイトにユーザーがアクセスできるようになります。
  • 地理的制限の克服: DoHはあなたのIPアドレスを直接変更して地理的な場所を偽装するものではありませんが、DNSレベルで制限が実施されているような軽微な地域制限のシナリオでは、ある程度の助けとなることがあります。

潜在的な欠点と考慮事項

DoHは大きな利点をもたらしますが、潜在的な欠点やユーザーが認識しておくべき考慮事項がないわけではありません。

集中化の問題

  • 少数の大手DoHリゾルバーへの依存: 現在、多くのユーザーはCloudflare (1.1.1.1) やGoogle Public DNS (8.8.8.8) など、少数の大手でよく知られたDoHリゾルバーに頼る傾向があります。これにより、DNSクエリサービスの集中化が進み、これらの大手プロバイダの権力やデータ処理方法に関する懸念が生じる可能性があります。これらのプロバイダはユーザーのプライバシー保護を約束していますが、これほど大量のインターネットトラフィックを少数のエンティティにルーティングすることは慎重な検討を要します。

ローカルネットワーク制御の回避

  • ローカルネットワークのフィルタリングポリシーを回避する可能性: 家庭のペアレンタルコントロール、企業のコンテンツフィルタリング、広告ブロッカーなど、これらの制御の多くはローカルDNSサーバーを通じて実装されています。ユーザーがブラウザやオペレーティングシステムでDoHを有効にし、外部のリゾルバーを指すように設定した場合、これらのローカルDNSフィルタが回避される可能性があります。これは個人のプライバシーにとっては有利かもしれませんが、ローカルネットワークの意図されたセキュリティやコンテンツ管理ポリシーを損なう可能性もあります。

パフォーマンスオーバーヘッド

  • わずかなパフォーマンスオーバーヘッド: DoHにはTLSハンドシェイクとHTTPS暗号化が関与するため、従来の平文DNSクエリと比較して、わずかな追加のパフォーマンスオーバーヘッドが発生します。しかし、ほとんどの最新のハードウェアとネットワーク接続速度では、このオーバーヘッドは通常無視できるレベルであり、日常のブラウジング体験に顕著な影響を与えることはありません。

DoHとVPNの関係

  • VPNはより包括的な保護を提供する: DoHはDNSプライバシーを強化するためのツールであることに注意することが重要です。すでに仮想プライベートネットワーク (VPN) を使用している場合、あなたのすべてのインターネットトラフィック(DNSクエリを含む)は、通常すでにVPNトンネルを介して暗号化されルーティングされています。このような場合、DoHは追加の保護層を提供しますが、必須ではないかもしれません。ただし、VPNを使用していない場合でも、DoHはDNSプライバシーを大幅に向上させる非常に効果的な方法です。VPNが他のプライバシーツールとどのように異なるかについて詳しく知るには、こちらをご覧ください:VPNとプロキシの違いは何ですか?

DoHとDoT:何が違うのか?

DNS暗号化について議論する際、DoH以外によく言及されるプロトコルにDNS over TLS (DoT) があります。これらのプロトコルは両方ともDNSトラフィックを暗号化してプライバシーとセキュリティを向上させることを目的としていますが、実装方法が異なります。

  • DNS over TLS (DoT):

    • DoTは、TCPポート853上の専用TLS接続を介してDNSクエリを暗号化します。
    • その利点は、専用ポートを使用することでDNSトラフィックが暗号化されたDNSとして容易に識別でき、そのポートを通るすべてのトラフィックがDNSトラフィックとして扱われることを保証できる点にあります。
    • 欠点は、独自のポートを使用するため、ネットワークファイアウォールや規制当局がすべてのDoTトラフィックを比較的容易に識別し、ブロックできる可能性があることです。

  • DNS over HTTPS (DoH):

    • DoHはDNSクエリをHTTPSトラフィック内にカプセル化し、標準のTCPポート443を介して送信します。
    • その主な利点は、通常のHTTPSウェブトラフィックと同じポートを使用するため、他の安全なウェブトラフィックから区別することが困難である点です。これにより、ネットワーク監視者や検閲者がDoHトラフィックをブロックしたり識別したりすることが非常に難しくなります。
    • 欠点は、他のHTTPSトラフィックに混ざっているため、ネットワーク管理者やセキュリティツールがDoHトラフィックに対してきめ細かい制御や検査を適用することが困難になる可能性があることです。

まとめると: DoTは明確にラベル付けされた暗号化されたメールボックスのようなもので、内容は安全ですが、メールボックス自体は目に見えます。DoHは、メールを他の安全な小包のように見える暗号化された小包の中に隠すようなもので、識別されにくくなります。どちらのプロトコルも、従来のDNSに対して重要なプライバシーとセキュリティの改善を提供します。

DNS over HTTPSを有効にする方法

DNS over HTTPSを有効にするのは比較的簡単なプロセスであり、多くの主要なウェブブラウザやオペレーティングシステムで組み込みのサポートが提供されています。

ウェブブラウザでDoHを有効にする

ほとんどのユーザーにとって、ブラウザでDoHを有効にすることが最も迅速かつ直接的な方法です。これにより、ブラウザから発生するすべてのDNSクエリが暗号化されます。

  • Mozilla Firefox:

    1. Firefoxを開きます。
    2. 右上隅のメニューアイコン(3本の横線)をクリックし、「設定」を選択します。
    3. 左側のメニューで「一般」をクリックします。
    4. 「ネットワーク設定」セクションまでスクロールし、「設定…」ボタンをクリックします。
    5. 「DNS over HTTPSを有効にする」オプションをチェックします。
    6. デフォルトのプロバイダ(CloudflareやNextDNSなど)を選択するか、「カスタム」を選択して、希望するDoHサーバーのURLを入力できます。
    7. 「OK」をクリックして変更を保存します。

  • Google Chrome:

    1. Chromeを開きます。
    2. 右上隅のメニューアイコン(3つの点)をクリックし、「設定」を選択します。
    3. 左側のメニューで「プライバシーとセキュリティ」をクリックし、次に「セキュリティ」を選択します。
    4. 「詳細設定」セクションまでスクロールし、「安全なDNSを使用する」オプションを見つけます。
    5. スイッチを「オン」の位置に切り替えます。
    6. 「現在のサービスプロバイダで」を選択するか、「別のプロバイダを選択」し、ドロップダウンメニューから選択するか(CloudflareやGoogle Public DNSなど)、カスタムURLを入力します。

  • Microsoft Edge:

    1. Edgeを開きます。
    2. 右上隅のメニューアイコン(3つの点)をクリックし、「設定」を選択します。
    3. 左側のメニューで「プライバシー、検索、サービス」をクリックします。
    4. 「セキュリティ」セクションまでスクロールし、「セキュアDNSを使用してウェブサイトのネットワークアドレスを検索する方法を指定する」オプションを見つけます。
    5. スイッチを「オン」の位置に切り替えます。
    6. 「現在のサービスプロバイダを使用する」を選択するか、「サービスプロバイダを選択する」をドロップダウンから選択するか、カスタムテンプレートを入力します。

オペレーティングシステムでDoHを有効にする(システム全体)

オペレーティングシステムレベルでDoHを有効にすると、ブラウザだけでなく、すべてのアプリケーションが暗号化されたDNSの恩恵を受けることができます。ただし、これはブラウザで有効にするよりも一般的に複雑であり、オペレーティングシステムによってサポートと設定方法が異なります。

  • Windows 10/11:

    • WindowsのネイティブDoHサポートは継続的に改善されています。最新のWindowsバージョンでは、以下の手順を試すことができますが、手動でのDNSサーバー設定が必要な場合があります。
    1. 「設定」>「ネットワークとインターネット」>「ネットワークの詳細設定」>「その他のネットワークアダプターのオプション」に移動します。
    2. 使用中のネットワークアダプター(例:Wi-Fiまたはイーサネット)を右クリックし、「プロパティ」を選択します。
    3. 「インターネット プロトコル バージョン 4 (TCP/IPv4)」を選択し、「プロパティ」をクリックします。
    4. 「次のDNSサーバーアドレスを使う」を選択し、DoH互換のDNSサーバーのIPアドレス(例:Cloudflareの1.1.1.1やGoogleの8.8.8.8)を入力します。
    5. 「詳細設定…」ボタンをクリックし、「DNS」タブに切り替えます。
    6. 「DNS over HTTPSを有効にする」または同様のオプションを探して有効にします。このオプションは、特定のWindowsバージョンまたは構成でのみ利用できる場合があります。
    • ヒント: ネイティブサポートが理想的でない場合、YogaDNSなどのサードパーティツールは、より柔軟なDoH構成を提供できます。

  • macOS:

    • macOSは現在、直接的で簡単なシステム全体のDoH切り替え機能を提供していません。macOSはdiscoverydサービス内でDoHの基本的なサポートを持っていますが、一般ユーザーがこれを設定するには、より技術的なセットアップ(例:plistファイルまたはコマンドラインツールを介して)が必要です。
    • システム全体のDoHには、多くの場合、dnscrypt-proxyなどのサードパーティアプリケーションやツールを使用する必要があります。

  • Linux:

    • Linux環境でのDoH設定も、通常は手動設定が必要です。異なるLinuxディストリビューションやDNSリゾルバー(systemd-resolveddnsmasqunboundなど)によって、設定方法が異なります。
    • 例えば、systemd-resolvedを使用している場合、その設定ファイルでDoHサーバーを指定できます。
    • より簡単な解決策としては、dnscrypt-proxyをインストールして構成することができます。
    • macOSと同様に、非技術的なユーザーにとっては、Linux上ではブラウザでDoHを有効にするのが最も便利な選択肢となることが多いです。

全体として、ブラウザでDoHを有効にすることが最も簡単で、ほとんどの人にとって十分な出発点です。システム全体のDoH保護が必要な場合は、より技術的な操作やサードパーティツールの助けが必要になるかもしれません。

結論

DNS over HTTPS (DoH) は、インターネットのプライバシーとセキュリティの分野における重要な進歩です。DNSクエリを暗号化することにより、DoHは従来のDNSプロトコルが残していたプライバシーの隙間を効果的に埋め、あなたの閲覧履歴をインターネットサービスプロバイダや他の中間者からの監視から保護します。これは個人のプライバシーを強化するだけでなく、悪意のあるDNSの改ざんや中間者攻撃から防御するのに役立ち、場合によってはDNSベースのコンテンツ検閲を回避するのにも役立ちます。

集中化の可能性やローカルネットワーク制御への影響などの潜在的な問題も考慮に入れる必要がありますが、DoHが提供する利点は明らかです。より安全でプライベートなインターネット体験を求めるすべてのユーザーにとって、DoHを有効にすることはシンプルでありながら強力な選択肢です。ブラウザの設定を通じて、あるいはより高度なオペレーティングシステムレベルでの構成を通じて、DNSトラフィックを暗号化するための行動を起こすことは、より安全なオンラインの世界への重要な一歩となるでしょう。

DoHがDNSプライバシーを劇的に向上させる一方で、包括的なインターネットプライバシーソリューションではないことに注意してください。主にDNSクエリの内容を保護するものです。より広範なネットワークトラフィックの暗号化とあなたの実際のIPアドレスを隠すためには、VPNは依然として不可欠なツールです。しかし、DoHをサイバーセキュリティ習慣に取り入れることは、間違いなく価値のある措置です。