Wifi プライバシーに関する警告 対処法

iOS 14でセキュリティ機能が強化され、より安全にiPhoneでWi-Fiネットワークを利用できるようになりました。

昨今、何かと注目されるのがプライバシーです。iOS 14では、Wi-Fiネットワーク周りのプライバシーに関するセキュリティ機能が強化され「プライベートWi-Fiアドレス」機能を利用できるようになりました。デフォルトで設定されているため、特に何かを気にする必要なく使えるのも魅力です。

この機能は、ネットワークごとに端末、この場合はそれぞれ個別のiPhoneを示すMACアドレスを別のものにすることで安全性を高めています。より詳細が気になる方はAppleのサポートページなどを参照してください。
https://support.apple.com/ja-jp/HT211227

さて、自動的に設定されるこの機能ですが、設定がどこにあるかは知っておいた方が良いでしょう。基本的に問題は起きないとされているものの、「iOS 13までは普通に接続できていたネットワークが、iOS 14になってから急に不調」といった場合、この機能が影響している可能性もあるからです。

自宅で iPhone のWi-Fi 設定画面をみると、昨夜はじめて「プライバシーに関する警告」というメッセージが表示されました。

確認してみると、「このネットワークは暗号化されたDNSのトラフィックをブロックしています」と表示されます。
昨日までは変わりなかったと思うのですが、大丈夫ですか？

iPhone内のアプリが「暗号化通信を試みて失敗した」かもしれませんが、自宅のWi-Fi であれば、基本的に問題ないと考えます。

今回は、インターネット接続での「DNS」と「DNSの暗号化」の役割について、見てみましょう。

ポイント

• DNSは、URLをIPアドレスに変換する仕組み。
• アクセスするURLを知られないためには、DNS通信を暗号化して守る必要がある。
• ただし、仮にDNS通信を傍受されても、通信内容まではわからない。
• 公衆Wi-Fi を利用するときに、パブリックDNS を利用するなら、DNS通信を暗号化しないと途中経路で傍受される危険性が高まる。

iOS14のDNSトラフィックの暗号化

iOS14 以降のiPhoneでは、Wi-Fiの警告に「プライバシーに関する警告」が表示されるようになりました。

警告を読んでみると、「対象のWi-Fiネットワークで、DNSを暗号化して通信しようとして失敗した」という意味のようです。

プライバシーに関する警告
このネットワークは暗号化されたDNSトラフィックをブロックしています。

デバイスがこのネットワーク上でアクセスするWebサイトやほかのサーバーの名前は、このネットワーク上のほかのデバイスによって監視および記録される場合があります。

日本語のメッセージがわかりにくいので、英文で警告文を確認してみますが、ほとんど同じ内容でした。

Privacy Warning

This network is blocking encrypted DNS traffic.

The names of websites and other servers your device accesses on this network may be monitored and recorded by other devices on this network.

ここでポイントになるのは、「DNS通信の暗号化がうまくできていない」ということです。

この警告文は、iOS14に「DNS通信の暗号化」という新機能が付け加えられたために表示されるようになりました。逆に言うと、iOS14は2020年9月16日にリリースされたので、それより前のOSではこの警告は表示されません。

（iOS14では、）DNSトラフィックを暗号化できるようになり、それによってネットワークトラフィックを見ている他人にDNSエントリが見られないようすることが可能になりました。

Enable encrypted DNS – WWDC20 – Videos – Apple Developer

傍受される危険性があるのは通信内容のすべてというわけではありません。「アクセスするWebサイトやほかのサーバーの名前」が暗号化されていない部分で、ウェブページの通信内容は通常通り保護されます。

表示されたり、されなかったり

この「DNS通信の暗号化できていない警告」の厄介なところは、表示されたり、しなかったりすることです。

同じWi-Fiに接続しても、ある日 突然 表示されたり、電源を入れ直すと警告が消えたり、と表示のタイミングがランダムです。

ですので、現時点（2021年12月28日）では、この警告自体がちょっと信頼できない状態です。

今のところは、そこまで心配しないても良いと思います。

インターネット通信でのDNSの役割

「DNS（Domain Name System）」とは、URLをIPアドレスに変換するシステムで、ウェブページなどにアクセスする前段階として、宛先のウェブサーバを特定するのに使われます。

いわば、ドメイン名から所在地を探すための巨大な住所録です。

プロバイダのDNSサーバ

この住所録はスマホには収まりきらないので、通常は、インターネット プロバイダのDNSサーバを利用しています。

例えば、自宅のルータからインターネットに接続する場合、まずプロバイダのDNSサーバに聞きに行くことになります。次に、そこで教えてもらったIPアドレスに対して通信します。

インターネット通信は、DNSサーバから送られたIPアドレスを元に組み立てられます。

ルータには「行きつけ」のDNSサーバがある

接続するDNSサーバは、IPアドレスで指定する必要があります。ただ、いちいちスマホやパソコンでDNSサーバのIPアドレスを指定しなくても、インターネットにつなぐことができます。

それは、ルータの設定には、DNSサーバのIPアドレスが記録されているからです。

例えば、ルータをリセットしてインターネットに接続できなくなったときは、このDNSサーバなどプロバイダの接続設定をやり直す必要があります。

モバイルデータ通信の場合も、基本的には同じで、まず通信会社のDNSサーバに接続しています。

DNSサーバがないとウェブサイトにアクセスできない

逆に、DNSサーバにうまく接続できないと、ウェブサイトにアクセスにアクセスできません。

「ERR_NAME_NOT_RESOLVED（ドメイン名が解決できない）」というエラーになります。

このサイトにアクセスできません

〜のサーバーのIPアドレスが見つかりませんでした。

次をお試しください
接続を確認する

ERR_NAME_NOT_RESOLVED

ルータに設定したDNSサーバのIPアドレスが間違えていたり、インターネット回線が不調な場合に、このエラーが表示されます。

なにもしていないのに、このエラーが出る場合は、一時的にインターネット回線やルータが不調になっている場合が多いです。

「解決」とは

ドメイン名をIPアドレスに変換することを「解決（resolve）」といいます。

DNS over HTTPとDNS over TLS

「DNSトラフィック」は、DNSサーバにIPアドレスを聞きに行くときの通信です。

最近は、この「DNSに確認するURLについても、HTTPSなどのように暗号化しよう」という流れがあります。

宅配便の「匿名配送」みたいな感じね。

暗号化には、 DoH、DoT という方法があります。

DNSの暗号化方式

• DoH（DNS over HTTPS）
• DoH（DNS over TLS）

「セキュリティ証明書や公開鍵・非公開鍵によってDNS通信を暗号化する」という仕組みはどちらも同じです。というのも、HTTPSも、暗号化の仕組みはTLSを利用しているからです。

では何が違うかというと、利用するポートです。ポートは、「サーバの窓口番号」のようなもので、通信規約によって対応する番号を選びます。

• DNS（平文） … 53
• DNS over TLS … 853
• DNS over HTTPS … 443

「DNS over HTTPS」では、Webサイトなどと通信するポート（443番）を使います。
それに対して、「DNS over TLS」は、特別なポート（853番）を使っているのです。
ちなみに、平文のDNSは、53番ポートを利用しています。

参考

• iOS 14でDNS暗号化に対応 重要性と暗号化方式を解説 | Parity-Blog.info
• HTTPS と SSL と TLS：その違いを５分でわかりやすく解説！ | キュービストブログ
• TLS（Transport Layer Security）とは – IT用語辞典 e-Words
• Port 853 (ポート853) | PORT INDEX
• SSL (TLS) 対応プロトコルのリスト – Qiita

DNSSEC

今回は関係ないですが、似たようなDNSに関するセキュリティ技術に、「DNSSEC（DNSのセキュリティ拡張：Domain Name System Security Extensions）」があります。

これは、DNSトラフィックの暗号化とは別のアプローチで、DNSサーバに偽の情報が記録されないようにするための仕組みです。

DNSサーバに記録されたIPアドレスが、正しいかどうかを検証するための署名情報などを付与します。

参考

• インターネット用語1分解説～DNSSECとは～ – JPNIC

DNSの暗号化は必要？

これまでは、DNS に確認するURLは、暗号化されていませんでしたが、大きな問題にはなっていませんでした。それは、個人宅からプロバイダのDNSサーバまでの経路は、基本的に通信会社の設備しかないので、比較的安全だからです。

もちろん、弱点が全くないわけではありません。
・自宅内のWi-Fi の区間
・集合住宅の共用設備

もし、Wi-Fiが暗号化されていなかったり、共用設備に侵入されてしまうなど、悪条件が重なると、「どのサイトに接続しているのか」という情報が傍受されてしまう可能性があります。

しかし、iPhoneやWi-Fiルータのセキュリティを正しく設定していれば、現時点ではそこまで現実的な脅威ではありません。それもあって多くのプロバイダでは、まだDNSの暗号化には対応していません。

信頼できるDNSサーバが「手前」にあれば、問題はない。

公衆Wi-FiとパプリックDNS

むしろ、DNS通信の暗号化がより必要になるのは、「公衆Wi-Fi」を利用する場合です。「DNS通信の暗号化」は「公衆Wi-Fi をいかに安全に使うか」という工夫の一つとも言えます。

「そもそも外出時には Wi-Fi に接続しない」という人には、あまり関係ありません。

仕事内容によっては、出張先のホテルやインターネット・カフェなどで 公衆Wi-Fi を利用するケースがある方もいます。

アバスト

￥2,480（2022/06/02 22:30時点）

公衆Wi-Fiで機密情報を守りたいなら、VPN（通信暗号化ネットワークサービス）を利用するのが定番です。

公衆Wi-Fi は、個人宅のWi-Fiルータに比べて、「どのような設定がされているかわからない」という危険性があります。接続するDNSサーバについても、本当に信頼できるものかわかりません。もし、Wi-Fiが 悪意のあるDNSサーバを使っている場合、偽サイトに誘導されても気づきません。

パブリックDNSまで通信を保護する

そこで、Wi-Fiルータに設定されているDNSサーバをそのまま信用するのではなく、スマホ側で信頼できるDNSサーバを指定する、という方法があります。

インターネット上には、誰でも利用できる「パブリックDNS」があり、固有のIPアドレスが公開されています。例えば、Cloudflare社などの「1.1.1.1」、Google社の「8.8.8.8」、 IBM社などが共同運営する「9.9.9.9」などです。

このような信頼できるDNSを経由して、ウェブページにアクセスすれば、偽サイトに誘導される危険性を減らすことができます。

ただし、このパブリックDNSを経由する方法にも弱点があります。それは、端末からパブリックDNSまでが遠いために、ほかのサーバを経由する必要があることです。このため、プロバイダのDNSに比べて、途中経路での傍受の危険性が高まります。

そこで出てくるのが「DNS通信の暗号化」です。DNS暗号化ができれば、外部のDNSまでの経路を安全に通信できるからです。

iOS 14でDNS暗号化をネイティブサポートしたことで、「280blocker」や「AdGuard」がiOS 14を対象に暗号化されたDNSサービスを提供しています。

iOS 14でDNS暗号化に対応 重要性と暗号化方式を解説 | Parity-Blog.info

まとめ

基本的に自宅のWi-Fiであれば、プライバシーに関する問題」は、そこまで気にする必要はないです。

ただ、古いWi-Fiルータの場合はセキュリティが弱い場合があるので、この機会にファームウェアのバージョンの更新を確認してみましょう。更新することで改善されることもあります。

また、 「プライバシーに関する警告」は誤表示のケースもあるようで、iPhoneを再起動すると表示されなくなる場合もあります（ただし、時間が経つとまた表示されることもある）。

参考

• iOS14で安全性の低いセキュリティ、セキュリティに関する勧告がWi-Fi部分に表示される原因と対処法を解説！ | App Story
• 【iPhone】「プライバシーに関する警告 このネットワークは暗号化されたDNSのトラフィックをブロックしています」というWi-Fi設定での警告表示について（未解決）
• wifiのプライバシーに関する警告について。 – このデバイ… – Yahoo!知恵袋
• DNS over TLS/HTTPSについて考える | IIJ Engineers Blog

QRコードを読み込むと、関連記事を確認できます。

iPhone Wi

Wi

iPhoneプライバシーに関する警告の対処法は？

Wi