DNSリーク
DNS問い合わせが意図しない経路へ流れると、閲覧先の手がかりが漏れる場合があります。
DNSリークとは何か
やを使っていても、DNSの扱いを見落とすと、接続しようとしたドメイン名の手がかりが別の経路へ出ることがあります。
これをDNSリークと呼びます。
DNSリークは、通信内容そのものが読まれる問題とは少し違います。 問題になるのは、「どのサイトを見ようとしたか」という接続先の手がかりです。
たとえば、VPNで通信経路を変えているつもりでも、DNS問い合わせだけが普段使っているISPのDNSリゾルバへ送られていれば、ISP側には問い合わせたドメイン名が見える場合があります。
この記事では、DNSリークで何が見えるのか、VPNやTorとどう関係するのか、確認するときに何を見るべきかを整理します。
DNSは接続先を調べる仕組み
DNSは、ドメイン名をに対応づける仕組みです。
ブラウザでWebサイトを開くとき、人間はドメイン名を使います。 しかし、実際にネットワーク上で通信するには、接続先のIPアドレスが必要です。
そのため、端末やブラウザはDNSリゾルバに問い合わせて、ドメイン名に対応するIPアドレスを調べます。
| 段階 | 起きること | 匿名性で見る点 |
|---|---|---|
| 1 | ブラウザがドメイン名を使う | 接続したいサイト名が生まれる |
| 2 | DNSリゾルバへ問い合わせる | どのリゾルバに問い合わせたかが重要になる |
| 3 | IPアドレスが返る | そのIPアドレスへ通信できるようになる |
| 4 | Webサイトへ接続する | HTTPSなら本文は保護されやすい |
DNS問い合わせは、ページ本文やフォーム内容そのものではありません。 しかし、「どのドメイン名を調べたか」は、アクセス先を推測する強い手がかりになります。
DNSリークで何が問題になるのか
DNSリークで問題になるのは、通信経路を変えたつもりでも、DNS問い合わせだけが別の経路へ出ることです。
たとえばVPNを使う目的が、「ISPから接続先を直接見えにくくすること」だとします。 このときWeb通信はVPNサーバーへ向かっていても、DNS問い合わせだけがISP側へ出ていれば、ISPは問い合わせたドメイン名を見られる場合があります。
つまり、接続先のWebサイト本文はHTTPSで読まれにくくても、DNSの段階で「どのドメインを見ようとしたか」が残ることがあります。
| 状態 | Web通信の見え方 | DNSの見え方 |
|---|---|---|
| 通常接続 | ISPから接続先IPなどが見える | ISP側DNSを使うことが多い |
| VPNが正しく機能 | ISPからはVPN接続が見える | VPN側や指定DNSへ流れる |
| DNSリークあり | Web通信はVPNを通る | DNSだけISP側へ出る |
| Tor Browser利用 | Tor Browser内の名前解決はTor経由で扱われる | 通常ブラウザや他アプリとは分けて考える |
DNSリークは、「VPNを使っているから接続先は見えない」と思い込むと見落とします。
匿名性では、Web通信の経路とDNS問い合わせの経路を分けて確認する必要があります。
VPN利用時に起きやすい
DNSリークは、VPN利用時に特に意識されます。
VPNは、端末からVPNサーバーまで通信路を作り、そのサーバーを経由して外部へ通信する仕組みです。 接続先Webサイトからは、利用者の自宅IPではなくVPNサーバーのIPアドレスに見えます。
しかし、DNS問い合わせの設定がVPNに合わせて変わっていない場合、DNSだけが普段のネットワークへ出ることがあります。
この状態では、接続先Webサイトから見えるIPはVPNサーバーでも、DNSリゾルバ側には問い合わせたドメイン名が残ります。
| 原因 | 起きること | 確認すること |
|---|---|---|
| VPNのDNS設定不備 | DNSだけ通常回線へ出る | VPN接続中のDNSサーバー |
| OS側のDNS固定 | VPNよりOS設定が優先される | ネットワーク設定 |
| ブラウザの独自DNS | ブラウザが別のDNSを使う | ブラウザのDNS設定 |
| VPN切断時の漏れ | 切断後に通常回線へ戻る | Kill switchや再接続設定 |
VPNを使うなら、IPアドレスだけでなくDNSも確認します。 「接続先から見えるIPが変わった」だけでは、DNSリークがないとは言えません。
Torとの関係
Tor Browserを使う場合、通常のWeb閲覧とは考え方が変わります。
Tor Browserは、通信をTorネットワーク経由で扱うように設計されています。 そのため、Tor Browser内でアクセスするWebサイトの名前解決は、通常のブラウザとは分けて考える必要があります。
ただし、Tor Browser以外のアプリや普段のブラウザが通常回線で通信していれば、それらのDNS問い合わせは別の問題として残ります。
つまり、Torを使っていても、端末全体のすべての通信が自動的にTor経由になるわけではありません。 匿名化したい通信がどのアプリから出ているのかを確認する必要があります。
DNSリークで見える情報と見えない情報
DNSリークを正しく理解するには、見えるものと見えないものを分けます。
| 情報 | DNSリークで見えるか | 説明 |
|---|---|---|
| ドメイン名 | 見える場合がある | どのサイトを調べたかの手がかりになる |
| 問い合わせ時刻 | 見える場合がある | 他のログと照合される軸になる |
| ページ本文 | DNSだけでは見えない | HTTPSの中身とは別問題 |
| URLのパスやクエリ | 通常DNSでは見えない | DNSは主にドメイン名を扱う |
| フォーム入力内容 | DNSでは見えない | HTTP通信の中身として扱われる |
DNSリークは、ページの中身を全部漏らす問題ではありません。 しかし、匿名性では「どのドメインへ行こうとしたか」だけでも重要な手がかりになります。
特に、時刻、IPアドレス、VPN接続ログ、、アカウント行動と組み合わさると、相関の材料になります。
何を確認するか
DNSリークを確認するときは、VPN接続前と接続後で見える情報を比べます。
外部のDNSリーク確認サイトを使う場合は、表示されるDNSサーバーが普段のISP側なのか、VPN側なのか、ブラウザの独自DNSなのかを見ます。
ただし、テストサイトの結果だけで完全に安全とは判断しません。 テストの範囲、ブラウザ、OS設定、VPNアプリ、接続タイミングによって結果は変わります。
| 確認項目 | 見る理由 |
|---|---|
| VPN接続中のDNSサーバー | ISP側DNSが見えていないか確認する |
| ブラウザのDNS設定 | ブラウザ独自のDNSが意図通りか確認する |
| VPN切断時の挙動 | 切断時に通常回線へ戻らないか見る |
| IPv6の扱い | IPv6だけ別経路になっていないか確認する |
| 複数ブラウザ | 匿名用と普段用で結果が混ざらないか見る |
DNSLeakTestは、外部から見たDNSリゾルバの情報を確認できる検証サイトです。 VPN接続前後で表示結果を比べると、DNS問い合わせが意図した経路に出ているかを確認しやすくなります。
URL : https://www.dnsleaktest.com/
高リスクな匿名活動では、DNSリーク確認だけで安心しないでください。 、ログイン状態、、投稿内容、ファイルも別に確認します。
まとめ
DNSリークとは、通信経路を変えているつもりでも、DNS問い合わせが意図しない経路へ出ることです。
DNSはページ本文を扱う仕組みではありません。 しかし、問い合わせたドメイン名は、どのサイトへ接続しようとしたかの手がかりになります。
VPNを使っていても、DNSだけがISP側へ出ていれば、接続先の推測材料が残ります。 Tor Browserを使う場合も、Tor Browser外のアプリや通常ブラウザの通信は別に考える必要があります。
匿名性では、IPアドレスだけでなく、DNS、Cookie、ログイン状態、ブラウザ、投稿内容を合わせて確認します。 DNSリーク対策は重要ですが、それだけで匿名性が完成するわけではありません。
関連ツール
WhatIsMyIP
WhatIsMyIPは、Webサイト側から見える現在のパブリックIPアドレスを確認できる検証サイトです。
紹介する理由: VPNやTorなどを使ったあと、接続先から見えるIPアドレスが意図した経路のものに変わっているかを確認する入口になるためです。
DNSLeakTest
DNSLeakTestは、DNS問い合わせがどのDNSサーバーへ送られているかを確認できる検証サイトです。
紹介する理由: VPN使用中でもDNSだけが普段のISPや意図しないリゾルバへ出ていると、接続先ドメインの手がかりが残るためです。
BrowserLeaks WebRTC
BrowserLeaks WebRTCは、WebRTC経由でブラウザから見えるIPアドレスや通信情報を確認できる検証ページです。
紹介する理由: VPNを使っていても、ブラウザ機能の設定によって意図しないIP情報が見えることがあるため、匿名環境の確認に役立ちます。
Proton VPN
Proton VPNは、Proton Mailなどプライバシー系サービスを長く運営しているProtonのVPNサービスです。
紹介する理由: VPNの信頼性を見るときに、対応端末、サーバー、透明性レポート、監査、オープンソースアプリなどを公式情報で確認しやすい実用候補として紹介します。
URL : https://protonvpn.com/
Mullvad VPN
Mullvad VPNは、メールアドレスやパスワードを要求しない番号アカウント方式を採るVPNサービスです。
紹介する理由: VPNを選ぶときに、登録情報を減らす設計、ログ方針、支払い方法、アプリ情報を公式サイトで確認できる候補として紹介します。
URL : https://mullvad.net/