新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

Android 9 Pieの1.1.1.1でプライベートDNSを有効にする

2018-08-16

3分で読了
この投稿はEnglishおよび简体中文でも表示されます。
image2-1

最近、Googleが正式に立ち上げたAndroid 9 Pieには、Ditital Wellbeing、セキュリティ、プライバシーに関するさまざまな新機能が含まれています。ベータ版またはアップデート後に携帯電話のネットワーク設定を覗いてみた方は、新しいプライベート DNS モードがAndroidでサポートされるようになったことにお気づきかと思います。

この新しい機能により、Android でカスタムセキュアDNSリゾルバーを設定するプロセスが簡単になります。つまり、デバイスとアクセス先Webサイトの間に関与する人々は、DNSクエリが暗号化されるため、スヌーピングできなくなります。この背後にあるプロトコル、TLSは、HTTPS経由でWebサイトにアクセスしたときにアドレスバーに表示される緑色の鍵アイコンにも関係しています。これと同じ技術が、DNSクエリーを暗号化する場合にも役立ちます。おかげで、DNSクエリーが改ざんされず、ISP、モバイルキャリア、および DNSリゾルバー間のネットワークパスにある他のユーザーが判読できないようになります。これらの新しいセキュリティプロトコルはDNS over HTTPS、およびDNS over TLSと呼ばれています。

1.1.1.1の設定

Android PieはDNS over TLSのみをサポートしています。お使いのデバイスでこれを有効にするには:

  1. 設定 → ネットワーク&インターネット → 詳細(Advanced) → プライベート DNSに移動します。

  2. 「プライベートDNSプロバイダーのホスト名」オプションを選択します。

  3. 1dot1dot1dot1.cloudflare-dns.comを入力し、 「Save(保存)」をクリックします。

  4. 1.1.1.1/help (または 1.0.0.1/help)にアクセスして「DNS over TLS (DoT)を使う」が「Yes」になっていることを確認します。

これで完了です!

Android Pie Private DNS Mode screenshot

プライベートDNSを使用する理由

DNS over HTTPSDNS over TLSは、インターネットプライバシーの現状にどのように適合しますか?

TLSはカフェにあるワイヤレスネットワークでメールを見るときなど、信頼できない通信チャネルを経由するトラフィックを暗号化するプロトコルです。TLSを使用していても、DNS サーバーへの接続がハイジャックされているか、サードパーティによってスヌーピングされているかを知ることはできません。これは、重大なことです。なぜなら、悪意のあるユーザーは、一般的なメールプロバイダーやネット銀行への接続をハイジャックするために、公共の場所にあるWiFi ホットスポットを構成して、偽造されたレコードでDNSクエリーに応答できるためです。DNSSECは、応答に署名して真正性を保証することでこの問題を解決し、改ざんを検出可能にしますが、メッセージ本文はワイヤー上で他の人が読める状態のままになっています。

DNS over HTTPS / TLSがこれを解決します。これらの新しいプロトコルにより、私たちがHTTPSトラフィックに期待するようになったのとちょうど同じように、デバイスとリゾルバー間の通信が暗号化されます。

しかし、この一連のイベントには、安全化されていない最後のステップがあります。お使いのデバイスとサーバーにおける特定のホストネーム間の最初のTLSネゴシエーションの間で、SNI(Server Name Indication)が明らかになる点です。リクエストされたホスト名は暗号化されないため、アクセスしたWebサイトを第三者が閲覧できてしまいます。ブラウジング活動を完全に保護するための最後のステップには、SNIの暗号化が当然、必要となります。SNIの暗号化については、Cloudflareは他の企業と共同で進行中であり、定義と促進について取り組んでいるところです。

IPv6の世界におけるDNS

プライベートDNSフィールドは 1.1.1.1 のような IPアドレスを受け付けず、代わりに 1dot1dot1dot1.cloudflare-dns.com のようなホスト名が必要なことにすでにお気づきかもしれません。これは発音しやすいとは言えないので、リゾルバーにとって覚えやすいものをデプロイするために、現在取り組み中ですが、1.1.1.1、1.0.0.1、1dot1dot1dot1.cloudflare-dns.comについては引き続きサポートを続けていく予定です。

Googleではこのフィールドにホスト名が必要です。モバイルキャリアはIPv4とIpv6が共存するデュアルスタックの世界に適応しようとしているからです。企業によるIpv6の採用は、一般に予測されていたよりもかなり迅速に行われており、IPv6に完全移行したT-Mobileを含めて、米国の主要なモバイルキャリアはIPv6をサポートしています。約260億のインターネットに接続したデバイスが、43億のIPv4アドレスを上回る世界において、これは朗報です。さらに、前向きな動きの中で、Appleでは、すべての新しいiOSアプリでシングルスタックのIPv6ネットワークをサポートすることが必須となっています。

しかし、私たちはまだIPv4アドレスを持つ世界に住んでいるので、電話メーカーや通信事業者は、下位互換性を念頭に置いてシステムを設計する必要があります。現在、iOSとAndroidはAおよび AAAA DNS レコードの両方をリクエストしています。これには、バージョン4およびバージョン6形式のドメインに対応する IP アドレスがそれぞれ含まれています。ご自分で試してみてください。

$ dig A +short 1dot1dot1dot1.cloudflare-dns.com
1.0.0.1
1.1.1.1

$ dig AAAA +short 1dot1dot1dot1.cloudflare-dns.com
2606:4700:4700::1001
2606:4700:4700::1111

IPv6 のみのネットワークでIPv4 アドレスのみのデバイスと通信するには、DNS リゾルバーは、DNS64を使って、Ipv4アドレスをIPv6アドレスに変換する必要があります。変換された IP アドレスへのリクエストは、ネットワーク事業者が提供するNAT64変換サービスを通過します。これらはすべて、デバイスおよびWeb サーバーに対して完全に透過的です。

このプロセスの詳細については、APNICの事例を参照してください。

Cloudflareは企業ネットワーク全体を保護し、お客様がインターネット規模のアプリケーションを効率的に構築し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を退けハッカーの侵入を防ぎゼロトラスト導入を推進できるようお手伝いしています。

ご使用のデバイスから1.1.1.1 にアクセスし、インターネットを高速化し安全性を高めるCloudflareの無料アプリをご利用ください。

より良いインターネットの構築支援という当社の使命について、詳しくはこちらをご覧ください。新たなキャリアの方向性を模索中の方は、当社の求人情報をご覧ください。
1.1.1.1ResolverIPv6DNSTLSセキュリティPrivacy

Xでフォロー

Cloudflare|@cloudflare

関連ブログ投稿

2024年10月08日 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...