iOS 14でセキュリティ機能が強化され、より安全にiPhoneでWi-Fiネットワークを利用できるようになりました。 Show 昨今、何かと注目されるのがプライバシーです。iOS 14では、Wi-Fiネットワーク周りのプライバシーに関するセキュリティ機能が強化され「プライベートWi-Fiアドレス」機能を利用できるようになりました。デフォルトで設定されているため、特に何かを気にする必要なく使えるのも魅力です。 この機能は、ネットワークごとに端末、この場合はそれぞれ個別のiPhoneを示すMACアドレスを別のものにすることで安全性を高めています。より詳細が気になる方はAppleのサポートページなどを参照してください。 さて、自動的に設定されるこの機能ですが、設定がどこにあるかは知っておいた方が良いでしょう。基本的に問題は起きないとされているものの、「iOS 13までは普通に接続できていたネットワークが、iOS 14になってから急に不調」といった場合、この機能が影響している可能性もあるからです。
「設定」アプリから[Wi-Fi]へ移動し、それぞれのネットワークの右端[i]アイコンから設定を参照可能。ここで[プライベートアドレス]が有効になっていればプライバシー対策が強化されている、と判断できます。
試しにオフにしてみると、このように[プライバシーに関する警告]とネットワークに対してメッセージが表示されます。そのため、不具合などの関係でどうしてもオフにしたい場合以外は、基本的にオンにしておいた方が良さそうです。 自宅で iPhone のWi-Fi 設定画面をみると、昨夜はじめて「プライバシーに関する警告」というメッセージが表示されました。 確認してみると、「このネットワークは暗号化されたDNSのトラフィックをブロックしています」と表示されます。 iPhone内のアプリが「暗号化通信を試みて失敗した」かもしれませんが、自宅のWi-Fi であれば、基本的に問題ないと考えます。 今回は、インターネット接続での「DNS」と「DNSの暗号化」の役割について、見てみましょう。 ポイント
iOS14のDNSトラフィックの暗号化iOS14 以降のiPhoneでは、Wi-Fiの警告に「プライバシーに関する警告」が表示されるようになりました。 iPhoneのWi-Fiの「プライバシーに関する警告」警告を読んでみると、「対象のWi-Fiネットワークで、DNSを暗号化して通信しようとして失敗した」という意味のようです。
日本語のメッセージがわかりにくいので、英文で警告文を確認してみますが、ほとんど同じ内容でした。
ここでポイントになるのは、「DNS通信の暗号化がうまくできていない」ということです。 この警告文は、iOS14に「DNS通信の暗号化」という新機能が付け加えられたために表示されるようになりました。逆に言うと、iOS14は2020年9月16日にリリースされたので、それより前のOSではこの警告は表示されません。
傍受される危険性があるのは通信内容のすべてというわけではありません。「アクセスするWebサイトやほかのサーバーの名前」が暗号化されていない部分で、ウェブページの通信内容は通常通り保護されます。 表示されたり、されなかったりこの「DNS通信の暗号化できていない警告」の厄介なところは、表示されたり、しなかったりすることです。 同じWi-Fiに接続しても、ある日 突然 表示されたり、電源を入れ直すと警告が消えたり、と表示のタイミングがランダムです。 ですので、現時点(2021年12月28日)では、この警告自体がちょっと信頼できない状態です。 今のところは、そこまで心配しないても良いと思います。 インターネット通信でのDNSの役割「DNS(Domain Name System)」とは、URLをIPアドレスに変換するシステムで、ウェブページなどにアクセスする前段階として、宛先のウェブサーバを特定するのに使われます。 DNSサーバの役割はドメイン名とウェブサーバのIPアドレスを結びつけるいわば、ドメイン名から所在地を探すための巨大な住所録です。 プロバイダのDNSサーバこの住所録はスマホには収まりきらないので、通常は、インターネット プロバイダのDNSサーバを利用しています。 例えば、自宅のルータからインターネットに接続する場合、まずプロバイダのDNSサーバに聞きに行くことになります。次に、そこで教えてもらったIPアドレスに対して通信します。 パスワード保護なしのWi-Fi アクセスポイントに繋いでしまった場合のリスクは? – スマホ教室ちいラボインターネット通信は、DNSサーバから送られたIPアドレスを元に組み立てられます。 ルータには「行きつけ」のDNSサーバがある接続するDNSサーバは、IPアドレスで指定する必要があります。ただ、いちいちスマホやパソコンでDNSサーバのIPアドレスを指定しなくても、インターネットにつなぐことができます。 それは、ルータの設定には、DNSサーバのIPアドレスが記録されているからです。 例えば、ルータをリセットしてインターネットに接続できなくなったときは、このDNSサーバなどプロバイダの接続設定をやり直す必要があります。 モバイルデータ通信の場合も、基本的には同じで、まず通信会社のDNSサーバに接続しています。 DNSサーバがないとウェブサイトにアクセスできない逆に、DNSサーバにうまく接続できないと、ウェブサイトにアクセスにアクセスできません。 DNSサーバに接続できないとウェブサイトにアクセスできない「ERR_NAME_NOT_RESOLVED(ドメイン名が解決できない)」というエラーになります。
ルータに設定したDNSサーバのIPアドレスが間違えていたり、インターネット回線が不調な場合に、このエラーが表示されます。 なにもしていないのに、このエラーが出る場合は、一時的にインターネット回線やルータが不調になっている場合が多いです。 「解決」とは ドメイン名をIPアドレスに変換することを「解決(resolve)」といいます。 DNS over HTTPとDNS over TLS「DNSトラフィック」は、DNSサーバにIPアドレスを聞きに行くときの通信です。 最近は、この「DNSに確認するURLについても、HTTPSなどのように暗号化しよう」という流れがあります。 宅配便の「匿名配送」みたいな感じね。 暗号化には、 DoH、DoT という方法があります。 DNSの暗号化方式
「セキュリティ証明書や公開鍵・非公開鍵によってDNS通信を暗号化する」という仕組みはどちらも同じです。というのも、HTTPSも、暗号化の仕組みはTLSを利用しているからです。 では何が違うかというと、利用するポートです。ポートは、「サーバの窓口番号」のようなもので、通信規約によって対応する番号を選びます。
「DNS over HTTPS」では、Webサイトなどと通信するポート(443番)を使います。 参考
DNSSEC今回は関係ないですが、似たようなDNSに関するセキュリティ技術に、「DNSSEC(DNSのセキュリティ拡張:Domain Name System Security Extensions)」があります。 これは、DNSトラフィックの暗号化とは別のアプローチで、DNSサーバに偽の情報が記録されないようにするための仕組みです。 DNSサーバに記録されたIPアドレスが、正しいかどうかを検証するための署名情報などを付与します。 参考
DNSの暗号化は必要?これまでは、DNS に確認するURLは、暗号化されていませんでしたが、大きな問題にはなっていませんでした。それは、個人宅からプロバイダのDNSサーバまでの経路は、基本的に通信会社の設備しかないので、比較的安全だからです。 もちろん、弱点が全くないわけではありません。 もし、Wi-Fiが暗号化されていなかったり、共用設備に侵入されてしまうなど、悪条件が重なると、「どのサイトに接続しているのか」という情報が傍受されてしまう可能性があります。 しかし、iPhoneやWi-Fiルータのセキュリティを正しく設定していれば、現時点ではそこまで現実的な脅威ではありません。それもあって多くのプロバイダでは、まだDNSの暗号化には対応していません。 信頼できるDNSサーバが「手前」にあれば、問題はない。 公衆Wi-FiとパプリックDNSむしろ、DNS通信の暗号化がより必要になるのは、「公衆Wi-Fi」を利用する場合です。「DNS通信の暗号化」は「公衆Wi-Fi をいかに安全に使うか」という工夫の一つとも言えます。 「そもそも外出時には Wi-Fi に接続しない」という人には、あまり関係ありません。 仕事内容によっては、出張先のホテルやインターネット・カフェなどで 公衆Wi-Fi を利用するケースがある方もいます。 アバスト ¥2,480(2022/06/02 22:30時点) 公衆Wi-Fiで機密情報を守りたいなら、VPN(通信暗号化ネットワークサービス)を利用するのが定番です。 公衆Wi-Fi は、個人宅のWi-Fiルータに比べて、「どのような設定がされているかわからない」という危険性があります。接続するDNSサーバについても、本当に信頼できるものかわかりません。もし、Wi-Fiが 悪意のあるDNSサーバを使っている場合、偽サイトに誘導されても気づきません。 パブリックDNSまで通信を保護するそこで、Wi-Fiルータに設定されているDNSサーバをそのまま信用するのではなく、スマホ側で信頼できるDNSサーバを指定する、という方法があります。 インターネット上には、誰でも利用できる「パブリックDNS」があり、固有のIPアドレスが公開されています。例えば、Cloudflare社などの「1.1.1.1」、Google社の「8.8.8.8」、 IBM社などが共同運営する「9.9.9.9」などです。 このような信頼できるDNSを経由して、ウェブページにアクセスすれば、偽サイトに誘導される危険性を減らすことができます。 ただし、このパブリックDNSを経由する方法にも弱点があります。それは、端末からパブリックDNSまでが遠いために、ほかのサーバを経由する必要があることです。このため、プロバイダのDNSに比べて、途中経路での傍受の危険性が高まります。 そこで出てくるのが「DNS通信の暗号化」です。DNS暗号化ができれば、外部のDNSまでの経路を安全に通信できるからです。
まとめ基本的に自宅のWi-Fiであれば、プライバシーに関する問題」は、そこまで気にする必要はないです。 ただ、古いWi-Fiルータの場合はセキュリティが弱い場合があるので、この機会にファームウェアのバージョンの更新を確認してみましょう。更新することで改善されることもあります。 また、 「プライバシーに関する警告」は誤表示のケースもあるようで、iPhoneを再起動すると表示されなくなる場合もあります(ただし、時間が経つとまた表示されることもある)。 参考
QRコードを読み込むと、関連記事を確認できます。 iPhone Wi1.SSIDの隠ぺいを解除する。 2.iPhoneを再起動してみる。 3. プライベートアドレスをオンにする。
WiiOS14のDNSトラフィックの暗号化
iOS14 以降のiPhoneでは、Wi-Fiの警告に「プライバシーに関する警告」が表示されるようになりました。 警告を読んでみると、「対象のWi-Fiネットワークで、DNSを暗号化して通信しようとして失敗した」という意味のようです。
iPhoneプライバシーに関する警告の対処法は?誤表示も少なくない「プライバシーに関する警告」メッセージ。 特に問題はないのに、表示されてしまうケースもあります。 その場合には、iPhoneを再起動することで、警告の表示が消え、問題なく使用できる場合がほとんどです。 iPhoneの再起動は、端末にトラブルがある際等にとっても役に立ちます。
Wi「設定」アプリから[Wi-Fi]へ移動し、それぞれのネットワークの右端[i]アイコンから設定を参照可能。 ここで[プライベートアドレス]が有効になっていればプライバシー対策が強化されている、と判断できます。 試しにオフにしてみると、このように[プライバシーに関する警告]とネットワークに対してメッセージが表示されます。
|