DNS over HTTPS と DNS over TLS：検閲技術への影響と現状

DNS over HTTPS (DoH) および DNS over TLS (DoT) は、従来の平文 DNS クエリを暗号化するプロトコルです。これらの技術がどの程度、国家レベルの DNS フィルタリングに対して実際の防御をもたらすのか、という問題は、デジタル権利の文脈では明確な答えを必要とします。結論から述べれば、DoH と DoT は DNS レベルでの検閲を部分的に困難にしますが、より高度なネットワーク検閲技術に直面した場合、それらは万能な解決策ではありません。

■ DNS フィルタリングの歴史と技術的背景

国家による DNS フィルタリングは、2000 年代初頭から広く導入されてきました。Roskomnadzor（ロシア連邦通信・情報技術・マスメディア監督庁）、中国の CAC（中央網路安全和情報化委員会）、イランの MIIT（情報通信技術省）、バングラデシュの BTRC（電気通信規制委員会）など、各国の規制当局は ISP に対して特定のドメインへのクエリに対して NXDOMAIN 応答（ドメインが存在しないという応答）を返すよう指示してきました。この方式は実装が簡単で、運用コストが低いため、多くの国家検閲インフラの基盤となっています。

しかし従来の UDP ポート 53 を使用した平文 DNS では、すべてのクエリがネットワーク上に可視化されます。ISP や中間ノードは、ユーザーがアクセスしようとしているドメインを見ることができ、それに基づいてフィルタリングを実施できます。

■ DoH と DoT による暗号化

DoH は DNS クエリを HTTPS（ポート 443）に埋め込み、DoT は TLS で保護された専用接続（ポート 853）を使用します。どちらの方式も、DNS クエリの内容をネットワークレベルで可視化することを難しくします。

しかし重要な限定があります。まず、DoH を使用する際、ユーザーは特定の DNS リゾルバー（例えば Cloudflare、Google、Quad9 など）を信頼する必要があります。その DNS プロバイダーに対する信頼がない場合、プライバシーの利益は減少します。次に、多くの検閲当局は既に DNS フィルタリング以外の手段を並行して運用しています。

■ 現実の検閲環境における課題

Access Now が記録した 2023～2024 年のデータによれば、インターネット遮断（internet shutdown）は依然として頻繁に使用されています。しかし日常的な検閲において、複数のレイヤーが組み合わされることが一般的です。

OONI（Open Observatory of Network Interference）の測定プロジェクトから公開されている報告書によると、次のような技術が並行して運用されていることが確認されています：

1. SNI（Server Name Indication）検査：TLS ハンドシェイク時の平文 SNI フィールドを検査し、特定のドメインへのアクセスをブロックする方式です。DoH や DoT で DNS を暗号化しても、SNI 検査を回避するには別の対策が必要です。

2. IP アドレスベースのブロック：特定の IP アドレスそのものをブロックリストに登録する方式です。DNS 解決を回避しても、IP レベルでの遮断に直面します。

3. 深層パケット検査（DPI）：ネットワークトラフィックの内容を検査し、特定のプロトコルパターンやペイロード特性を検出する方式です。HTTPS トラフィックであっても、統計的特性により分類・ブロックされる可能性があります。

4. BGP レベルの介入：インターネットルーティング自体を操作し、特定のネットワーク範囲へのパケット転送を遮断または迂回させる方式です。

ロシア、中国、イラン、バングラデシュなど複数の国では、これらの手段が組み合わされて運用されていることが報告されています。DoH だけでは、これらの多層的な検閲を回避することはできません。

■ 技術的対抗手段

より実装的な観点から述べれば、DoH や DoT の有効性は、それが実装される環境によって大きく左右されます。クライアント側で DNSSEC バリデーションを行い、DNS キャッシュポイズニング攻撃への耐性を高めることは有益です。しかし検閲を回避するという目的では、MASQUE（Multiplexed Application Substrate over QUIC Encryption）、ECH（Encrypted Client Hello）、あるいは Tor ブラウザが提供する pluggable transports（Snowflake、WebTunnel など）のような、より包括的な暗号化・難読化技術の方が実績があります。

WireGuard、OpenVPN、obfs4、REALITY/Vision、Shadowsocks、V2Ray/Xray といったプロトコルは、単に DNS を暗号化するだけでなく、全トラフィックを難読化・トンネル化することで、IP ブロック、SNI 検査、DPI を同時に回避する設計になっています。

■ 現状と限定

DoH と DoT は、DNS フィルタリングというネットワーク検閲の一つの手段に対しては有効です。Firefox や Chromium ベースのブラウザでの実装により、一般ユーザーでも利用が可能になっています。しかし国家レベルの検閲環境では、複数のレイヤーでの対策が標準となっており、DoH だけではそれらに対抗できません。デジタル権利の実装という観点からは、DoH/DoT は重要な防御の一部ですが、決定的な解決策ではないという理解が適切です。