DNSリークとは、google.comのようなドメイン名をIPアドレスに変換するDNSクエリが 暗号化トンネルの外を通り、代わりにISPのサーバーに到達するプライバシーの脆弱性です。 VPNが有効でも、DNSリークがあればインターネットプロバイダーはあなたが訪問するすべての ウェブサイトを見ることができます。DNSセキュリティを今すぐ whatsmy.fyiで確認できます。
DNSとは何か
DNS(Domain Name System)はインターネットの電話帳です。ブラウザにウェブサイトのアドレスを 入力するたびに、デバイスは「このドメインのIPアドレスは何ですか?」と尋ねるDNSクエリを 送信します。通常ISPが運営するDNSリゾルバーが答えを検索し、ブラウザが接続できるよう IPを返します。
デフォルトでは、このルックアップはUDPポート53経由でプレーンテキストで送信されます。 ISPはすべてのDNSクエリをログに記録でき、トラフィックのコンテンツを見ることなく あなたのブラウジング習慣の詳細な記録を構築できます。
DNSリークとは何か
VPNを使用すると、DNSクエリを含むすべてのインターネットトラフィックが暗号化されたVPN トンネルを通り、VPNプロバイダーのサーバーから出るはずです。DNSリークは、デバイスが DNSクエリのためにこのトンネルをバイパスし、ISPのDNSリゾルバーに直接送信するときに 発生します。
結果:VPNはIPアドレスを隠してブラウジングデータを暗号化しますが、ISPはあなたが 訪問するすべてのドメイン名の完全なログを受け取ります。暗号化トンネルはトラフィックを 保護していますが、DNSリクエストがその外に漏洩しています。
DNSリークが発生する理由
DNSリークは意図的なものではありません — 設定ミスとOSがネットワーク移行を処理する 方法から発生します:
- スプリットトンネルDNS:一部のVPNクライアントはスプリットトンネリングを 使用して一部のトラフィックのみをVPN経由でルーティングします。DNSがトンネルに明示的に 含まれていない場合、クエリはデフォルトインターフェースを経由します。
- OSレベルのDNSフォールバック:特にWindowsには「スマートマルチホーム 名前解決」という機能があり、利用可能なすべてのネットワークインターフェースに同時に DNSクエリを送信し、最初に応答したものを使用します — 多くの場合ローカルISPです。
- IPv6 DNSリーク:多くのVPNはIPv4トラフィックのみをトンネリングします。 デバイスにIPv6接続がある場合、DNSクエリが保護されていないIPv6インターフェース経由で 移動する可能性があります。
- DHCP DNSオーバーライド:ネットワークに接続すると、DHCPがDNSサーバーを 割り当てます。デバイスがVPNのDNSを使用する代わりにこの割り当てを受け入れると、 クエリがそのサーバーに漏洩します。
DNSリークのテスト方法
whatsmy.fyiのDNSセキュリティカードは、ネットワークがDNS over HTTPSを許可しているかどうか、 および接続が既知のVPNプロバイダー経由でトラフィックをルーティングしているかどうかを 確認します。VPNを使用している場合、カードはDNSクエリがトンネル経由で暗号化されている ことを確認します。
決定的なDNSリークテストには、専用ツールがカスタム権威ネームサーバーを使用する技術を 採用しています。ユニークなサブドメイン(例:abc123.test.dnsleak.com)を 割り当て、ブラウザからそのサブドメインのDNSルックアップをトリガーし、どのDNSサーバーが 実際にクエリを解決したかを確認します。VPNのリゾルバーではなくISPのリゾルバーだった場合、 DNSリークがあります。
DNSリークの修正方法
オプション1:DNSリーク保護が内蔵されたVPNを使用する
ほとんどの信頼できるVPNプロバイダーはDNSリーク保護を機能として含んでいます。これにより すべてのDNSクエリがVPNトンネル経由で送られ、OSが他のリゾルバーを使用するのを防ぎます。 VPNクライアントでこの設定を探し、有効になっていることを確認してください。
オプション2:プライバシー重視のDNSリゾルバーを設定する
クエリをログに記録しないDNSプロバイダーに切り替えることで、露出を大幅に減らすことができます。 よく知られたオプション:
- Cloudflare 1.1.1.1 — 高速、プライバシー優先、クエリログなし。 DNS over HTTPSとDNS over TLSをサポート。
- Google 8.8.8.8 — 広く使用され、信頼性が高い。セキュリティと 悪用防止のためのクエリログが一部あり。
- Quad9 9.9.9.9 — マルウェアブロック機能を内蔵したプライバシー重視。 非営利組織が運営。
- NextDNS — あなたが管理する詳細なクエリログ付きの完全設定可能サービス。
オプション3:DNS over HTTPS(DoH)を有効にする
DNS over HTTPSはDNSクエリを HTTPSでラップして暗号化します。UDPでプレーンテキストクエリを送信する従来のDNSとは異なり、 DoHはウェブサイトと同じ暗号化プロトコルを使用してウェブサーバーにクエリを送信します。 ISPにはDoHプロバイダーへのHTTPSトラフィックが見えるだけで、解決している個々のドメイン名は見えません。
最新のブラウザには組み込みのDoHサポートがあります:
- Firefox:設定 → プライバシーとセキュリティ → DNS over HTTPS。 「最大保護」を選択してすべての非DoHクエリをブロックします。
- Chrome / Edge:設定 → プライバシーとセキュリティ → セキュリティ → セキュアDNSを使用。有効にしてプロバイダーを選択します。
- OSレベル(Windows 11、macOS 13+):どちらもOSレベルでDoHをサポートし、 ブラウザだけでなくすべてのアプリを保護します。
DNSリーク vs WebRTCリーク
DNSリークと WebRTCリークは別の問題ですが、どちらもVPN使用中に実際の身元を公開する可能性があります。 WebRTCリークはIPアドレスを直接公開し、DNSリークは訪問するウェブサイトを公開します。 両方をテストすべきです。whatsmy.fyiは同じページで両方を確認します。
DNS over HTTPSですべてが解決されますか?
DoHはISPがDNSクエリを転送中に読むことを防ぎますが、匿名性を与えるわけではありません。 DoHプロバイダーはDNSクエリを受け取ります。Cloudflare 1.1.1.1とQuad9は強力な 非ログポリシーを公表していますが、ISPからDoHプロバイダーへ信頼を移しているだけです。 最大限のプライバシーのためには、DoHをVPNと組み合わせてください。
さらに、DoHは特定のIPアドレスに接続しているという事実を隠しません — 最初の名前解決 ステップのみです。DoHが有効でも、ネットワークメタデータ分析によって使用しているサービスが 特定される可能性があります。
よくある質問
VPNを使用せずにDNSリークが発生することはありますか?
技術的にはありません — 「リーク」は予期される安全なチャネルをバイパスするトラフィックを 意味します。VPNなしでは、すべてのDNSクエリがデフォルトでISPに送られます。これは通常の 動作です。リスクはISPがこのデータをログに記録して収益化する可能性があることです。 解決策は、プライバシーを尊重するDNSリゾルバーに切り替えるか、DNS over HTTPSを有効に することです。
DNSリークはパスワードやブラウジングコンテンツを公開しますか?
いいえ。DNSリークはあなたが訪問するドメイン名(例:google.com)のみを公開し、 接続のコンテンツは公開しません。パスワード、メッセージ、ページコンテンツは依然としてTLS暗号化によって保護されています。ただし、訪問するドメインのリストは、ほとんどのプライバシー フレームワークで機密メタデータと見なされます。
1.1.1.1に切り替えることでインターネットが速くなりますか?
多くの場合はそうです。DNS解決速度は、アドレスを入力した後にブラウザがページの読み込みを 開始できる速さに影響します。Cloudflare 1.1.1.1は独立したベンチマークで最速の公開DNS リゾルバーとして常に上位にランクされています。DNS解決が速くなることで知覚レイテンシが 減少します — 接続での現在のDNS解決時間は レイテンシに反映されます。
