VPNとDNS：ネットワークセキュリティの基本概念、ご存じですか？

ブラウザに「銀行公式サイト」と入力しても、実際にはまったく別のサイトにアクセスしているかもしれません。

想像してみてください。あなたはスターバックスで公衆Wi-Fiに接続し、スマホのブラウザを開いてアドレスバーに「icbc.com.cn」と入力します。ページが表示され、工商銀行の公式サイトとそっくりです。あなたはアカウントとパスワードを入力してログインをクリックします——ページがくるくる回った後、「システム混雑中のため、後でもう一度お試しください」と表示されます。あなたは単にネットの調子が悪いと思い、スマホをしまって立ち去ります。しかし実際には、先ほど入力したアカウントとパスワードは他人の手に渡っています。

この攻撃手法はDNSハイジャックと呼ばれ、その実現は多くの人が考えるよりもずっと簡単です。なぜこれが恐ろしいのかを理解するには、まずDNSがインターネットの世界で果たす役割を把握する必要があります。

DNSはインターネットの電話帳であり、しかも鍵がかかっていない電話帳です。あなたが人間に読めるドメイン名（例：baidu.com）をブラウザに入力すると、DNSサーバーがそれをコンピューターが認識できるIPアドレス（例：110.242.68.66）に変換します。このプロセスは従来のインターネットアーキテクチャでは完全に平文で送信され、一切の暗号化保護がありません。公衆Wi-Fiでドメイン名の解決をリクエストすると、カフェにいる少し技術のわかる人なら誰でもそのリクエストを傍受でき、偽のIPアドレスを返して、まったく同じ見た目のフィッシングサイトへ誘導することができます。あなたのISP（インターネットサービスプロバイダー）も、DNSの問い合わせ履歴をすべて把握できます。あなたがどのウェブサイトにアクセスしたか、いつアクセスしたか、どれくらいの頻度か——これらのデータはISPの手元で、かなり詳細な個人プロファイリングを構成し、広告主に販売されることもあります。

VPNはどうやってDNSのセキュリティ問題を解決するのか？VPN接続が確立されると、すべてのDNSクエリはローカルネットワークで設定されたDNSサーバーを経由せず、VPNの暗号化トンネルを通じて、VPNが自社運営するプライベートDNSサーバーに送られます。この仕組みには3つの保護層があります。DNSクエリの内容が暗号化され、プロバイダーやネットワーク上の誰にも見られないこと。DNSサーバーがVPNによって管理されるため、毒入れやハイジャックを受けないこと。さらに、DNSクエリと通常のトラフィックが同じ暗号化経路を通るため、こっそり漏洩することがありません。

DNSリークという重要な概念があり、VPNを使う人は誰でも知っておくべきです。一部のVPNクライアントは設定が不十分で、ウェブのトラフィックはVPN経由でも、DNSクエリだけがこっそりとシステム既定のDNSサーバー（通常はプロバイダーのもの）を使ってしまうことがあります。その結果、安全だと思っていても、ISPにはあなたが訪れたすべてのサイトが把握されたままになります。「DNSリークテスト」ツールを検索し、VPNに接続した状態でテストしてみて、表示されるDNSサーバーがVPN事業者のものかどうかを確認してください。もし違っていたら、すぐに別のVPNに乗り換えましょう。

近年、業界はDoH（DNS over HTTPS）とDoT（DNS over TLS）という2つのDNS暗号化方式を導入し、主要ブラウザやOSがネイティブ対応を進めています。これらは確かにDNSクエリを暗号化しますが、保護されるのは「電話帳」だけで、あなたがかける「一通一通の電話」は保護されません。つまり、あなたの実際のIPアドレスや、送信する具体的な内容は依然として公衆ネットワーク上にむき出しのままです。DoHやDoTはVPNの補完にはなれても、決して代替品ではありません。

闪连VPNはプライベート暗号化DNSとリーク防止機構を内蔵しており、ユーザーはDNS設定を個別にいじる必要はありません。接続するだけで完全な保護が得られます。ネットワークセキュリティにおいて、基盤をしっかりと安定して提供することこそ、ツールの真の価値です。闪连VPNの考え方は非常に明確で、DNS防御、暗号化トンネル、リーク防止機構のすべてをワンクリック接続に統合し、ユーザーはDoHとDoTの違いを理解しなくても、接続するだけでフルセキュリティが手に入ります。