インターネットをより安全にする技術「DoH」に対して大手ISPが抱える懸念とは？

by geralt

一般的なブラウザでサイトにアクセスすると、ドメインネームシステム(DNS)に対して、ドメイン名をIPアドレスに変換する要求(DNSクエリ)が送信されます。このDNSクエリを暗号化するDNS over HTTPS(DoH)を導入してセキュリティを向上しようという動きに対して、インターネット・サービス・プロバイダー(ISP)をはじめとする通信業界の一部が懸念を示しています。

Why big ISPs aren’t happy about Google’s plans for encrypted DNS | Ars Technica
https://arstechnica.com/tech-policy/2019/09/isps-worry-a-new-chrome-feature-will-stop-them-from-spying-on-you/

従来のDNSクエリは平文で行われるため、第三者に内容をのぞかれたり改ざんされたりする可能性があり、セキュリティ上で大きな問題があると指摘されていました。GoogleとMozillaは、ブラウザに暗号化されたHTTPSプロトコルでDNSクエリを送信するDNS over HTTPS(DoH)を実装することで、この懸念に対処しようとしています。

Googleの無料DNSサービス「Google Public DNS」がTLSセキュリティに対応 - GIGAZINE

FirefoxがDNSとの通信を暗号化する「DNS over HTTPS(DoH)」を正式に実装すると発表 - GIGAZINE

一方で、ユーザーのプライバシーを保護する技術であるDoHに対して、ISPは2つの懸念を示しています。

1つ目は、「DNSの暗号化によってインターネットのフィルタリングやペアレンタルコントロールが困難になる」という点です。たとえば、マルウェアに関連付けられたドメインへのDNSクエリは、ユーザーがマルウェアに感染していることを示すサインになります。また、禁止されたドメインのDNSクエリを書き換えるフィルターを導入することで、子どもが成人向けサイトにアクセスすることを防ぐことができます。DoHを積極的に推進しているMozillaは、ポルノサイトのフィルタリングが法的に義務づけられるイギリスでは「DoHをデフォルトで有効にしない」と明言しました。

by StartupStockPhotos

2つ目はシェア1位のウェブブラウザであるChromeを抱えるGoogleに対するもので、「GoogleがChromeのユーザーを独自のDNSサーバーに誘導することで、DNSがGoogleの元に集約されてしまう」という懸念です。ただし、Googleはこの懸念について「Googleは、DNSプロバイダーをGoogleに集約しようとは考えていません。『Googleが中央集権型の暗号化DNSプロバイダーになろうとしている』という主張は正しくありません」と否定しました。

by Stephen Shankland

GoogleはChromeのバージョン78以降からDoHを試験的に導入すると発表しています。ただし、Googleはホワイトリストに登録されたDNSプロバイダーに対してのみDoHを有効にしていると述べ、あくまでも段階的に切り替えていくため、混乱は生じることはないとしています。

イギリスのインターネット・サービス・プロバイダー協会(ISPA)は、「DNSクエリを暗号化することによって、フィルタリングやペアレンタルコントロールが困難となり、インターネットが安全に利用できなくなる」とMozillaを名指しして批判。また、アメリカの通信業界団体は2019年9月19日、議会に宛てた(PDFファイル)書簡の中で、GoogleがDoHをサポートしていることについて、「インターネットの重要な機能を妨害したり、データ競争の問題を引き起こしたりする可能性がある」と警告しました。

さらにウォール・ストリート・ジャーナルによると、アメリカ議会の下院司法委員会は2019年9月13日に、「Googleが新しいDoHのプロトコルで収集したデータを商業目的で利用するのではないか」という懸念のもと、Googleに対してDoH導入計画の詳細を求めました。

技術系メディアのArs Technicaは「ISPがユーザーのDNSクエリを盗み見られるようになったのは、たまたまそうなっただけで、必然的なものではありません」とし、DNSの暗号化はインターネットがより安全になるためのごく自然な流れの1つであると主張。ISP側の調整はかなり大変だと認めながらも、それがDoHを拒む理由にはならないと述べました。