トップ «前の日記(2012/02/09(Thu)) 最新 次の日記(2012/11/02(Fri))» 編集

ゆきのぶ日記


2012/02/17(Fri) [長年日記]

DNSサーバを変えるのに必要な覚悟

DNSサーバ*1は、いわばインターネットの案内人だ。ウェブサイトにアクセスするときには、必ずDNSサーバから案内を受けている。このDNSサーバは、普通はプロバイダから自動的に提供されるので、自分がどのDNSサーバを使っているか、設定を気にすることはないし、その必要もない。

最近、高速化を目的としてDNSサーバの変更を勧める記事を見かけることがある()。そういった記事の中には、設定を変更するリスクの説明が不足しているものがある。ここでは、そのリスクを具体的に挙げ、何を覚悟すればいいのか説明を試みたいと思う。

記録されるリスク

いつ、どのサイトにアクセスしたのか、DNSサーバには凡そバレてしまう。普通のDNSサーバなら、そんな記録をしないかも知れないし、記録したとしても何もしないだろう。ただ、悪い人のDNSサーバだったら、記録された情報を何に使われるかは判らない。

さらに巧妙な手口を使われると、気づかないうちに通信の全内容を記録されることもあるかも知れない。そうなれば、パスワードもカード番号も筒抜けになるだろう*2

改変されるリスク

通信先や通信内容を、改変されることがある。もしかすると、いつも使っているサイトの一部に、関係ない広告が表示される様なこともあるかも知れない。あるいは、嘘ニュースが表示されるかも知れない。

どんな風に改変されるかは、その時になってみないとわからないし、それが改変なのかどうかを見分けることも難しい。

止まるリスク

もしDNSサーバが止まったら、インターネット接続はできないも同然の状態になる。うまく繋がらない場合に調べるべき場所が1つ、増えることになるし、設定したまま忘れてしまっていると、解決に時間がかかるかも知れない。

要するに信用と覚悟の問題

上に挙げたようなこと*3は、そもそもプロバイダならDNSとは無関係に技術的には可能だけど、私たちはプロバイダなら大丈夫だろうと信じている。プロバイダは直接の契約相手だから文句も言えるし、法律*4にも従っているだろうからだ。しかしDNSサーバは世界のどこにあるか、文句も言う先があるのか、日本語や英語が通じるのか、ちゃんと調べないと判らない。

DNSサーバを変更するということは、プロバイダ以外の人を新たに信用する、つまり裏切られた場合の損失を受け入れることだと思う。例えば「Google Public DNS」を使うんなら、Googleに身を委ねる判断と覚悟をしたことになる。

個人的な考えでは、スピードが上がる程度のメリット引き替えでは、とてもリスクに見合わないし、まして人に勧めるなんてとてもできないと思っている。

*1 ここでいうDNSサーバは、キャッシュサーバやフルサービスリゾルバを意図している。コンテンツサーバは含まない。

*2 実際にはパスワードもカード番号もSSLで保護されることが多いので、筒抜けは言いすぎかも。

*3 DNSとは話がそれるけれど、無線LANの野良アクセスポイントに接続する場合も、だいたい同じようなリスクがある。

*4 電気通信事業法とか、その中にある通信の秘密の話とか。

本日のツッコミ(全6件) [ツッコミを入れる]
beyondDNS (2012/03/16(Fri) 13:47)

Google が信用できるか、はすでに自明だと思いますが、<br>プロバイダを信用するのも危険だと思います。<br><br>それ以前にどこを使ってもDNSは危険だと思うのが<br>いいでしょう。<br><br>webならalways https を使うのがお勧めです。

ゆきのぶ (2012/03/16(Fri) 20:31)

コメントありがとございます。確かに DNS には色々と綻びもありますし、そうでなかったとしても、これだけで安全を確保できるものではありませんね。https が使えるのなら、そちらが良いと私も思います。<br><br>伝えたかったのは、信用する対象は少ないに越したことはないという点で、どこかの DNS を信用しないと通信できないのなら、既に(DNS 以外の面で)信用している筈のプロバイダのものが一番マシなのではないか、という話でした。

beyondDNS (2012/03/17(Sat) 11:57)

プロバイダ(DNS)を信用するのも危険だと思います。<br> 「信用しているはず」というのもちょっと違うような気がします。<br><br>今回のDNSについては<br>自前でDNSキャッシュサーバを動かせばいいと考えます。<br>そこまでやるひとは少ないとは思いますが。<br><br>せっかく書かれたことなので、突っ込んでいるだけです。これまでにします。

コメント (2012/05/01(Tue) 14:19)

日本のプロバイダはおおむね真面目なので、DNSサーバーを負荷に応じて強化すると思いますが、<br>世界中のプロバイダで考えれば、DNSサーバーが輻輳してる状態が放置されていたりして、Googleによる8.8.8.8の方が速いことは十分考えられます。<br>すでにGoogleはAnalyticsなどからのデータでこの状況を完全に把握しているとも言えそうです。

ユーザー (2013/11/17(Sun) 08:25)

DNSサーバを変えていいのか疑問でしたが、どういうリスクがあるのかとても解り易く大変役立ちました。ありがとうございます!

ユーザ (2015/06/21(Sun) 18:03)

信頼云々言うなら自分で引くべきでしょう。<br>信用するのは権威だけで事足りるし、もし権威が信用出来ないならそんな所にアクセスすべきで無い。