DNSリークは、VPN接続中にもかかわらず、あなたがどのサイトにアクセスしているかがISP(インターネットプロバイダ)に筒抜けになる深刻なプライバシー問題です。VPNでIPアドレスを隠していても、DNSリークがあればプライバシー保護は事実上無意味になります。
ISPはDNSクエリからあなたが「いつ」「どのサイトに」アクセスしたかをすべて把握できます。国によっては、ISPがこのデータを政府機関に提供したり、広告会社に販売したりすることもあります。
DNSリークとは何か — 技術的な仕組み
Webサイトにアクセスする時、ブラウザはまず「vpnj.jp」のようなドメイン名をIPアドレスに変換する必要があります。この変換リクエストを「DNSクエリ」と呼び、通常はISPのDNSサーバーが処理します。
VPN接続中は、DNSクエリもVPNトンネル内を通り、VPNプロバイダのDNSサーバーで処理されるのが正しい動作です。ところが、OSの設定不備やネットワーク構成の問題で、DNSクエリだけがVPNトンネルの外を通ってISPのDNSサーバーに直接送られてしまうことがあります。これがDNSリークです。
DNSリークを検出する方法
NordVPNの場合はCloudflareやNordVPNのDNSサーバーが、ExpressVPNの場合はExpressVPN独自のDNSサーバーが表示されるのが正常な状態です。
DNSリークの原因と対処法
手動でセキュアなDNSサーバーを設定
VPNアプリの保護機能だけでは不安な場合、手動でセキュアなDNSサーバーを設定できます。
Cloudflare DNS
1.1.1.1 / 1.0.0.1
- 速度重視
- ログを24時間以内に削除(プライバシーポリシー明記)
Quad9 DNS
9.9.9.9 / 149.112.112.112
- セキュリティ重視
- マルウェアドメインを自動ブロック
VPN接続中は手動DNS設定ではなくVPNプロバイダのDNSサーバーを使用するのが最もリーク耐性が高い構成です。手動DNS設定はVPN未接続時のフォールバックとして設定しておくのが理想的です。
DNSリーク保護が充実したVPNを選ぶ
DNSリーク対策に最も効果的なのは、リーク保護が標準搭載された信頼できるVPNを使うことです。
- NordVPN: 独自のDNSサーバーを全サーバーに内蔵、すべてのDNSクエリをVPNトンネル内で処理
- ExpressVPN: 各サーバーでプライベートDNSを運用
- Surfshark: 独自DNSを採用
無料VPNの多くはDNSリーク保護を実装していません。VPNの暗号化やセキュリティ機能の全体像についてはVPNセキュリティガイドを、プロトコルごとの違いはVPNプロトコル比較を参照してください。
DNSリークが特に危険な場面
DNSリークの影響度は利用環境によって大きく変わります。自宅でのカジュアルなブラウジングならリスクは限定的ですが、以下の場面では深刻な被害につながる可能性があります。
- 公共Wi-Fi(カフェ・空港・ホテル): 同一ネットワーク上の悪意あるユーザーがDNSクエリを傍受可能、アクセス先のドメイン情報が漏洩
- 検閲国(中国・イラン等): リークしたDNSクエリから規制対象サイトへのアクセスが当局に検知される可能性
- 企業リモートワーク: どのサーバーやサービスにアクセスしているかがISPに見えてしまうリスク
定期チェックの習慣づけ
VPNを使う目的がプライバシー保護であるにもかかわらず、DNSリークが発生していては本末転倒です。
- 初回のVPN設定時にdnsleaktest.comでテストを実行
- その後も月に1回程度の定期チェックを習慣化
- VPNアプリのアップデート後は必ずテストを実施
- OSのメジャーアップデート後も確認が必要
NordVPN、ExpressVPN、SurfsharkのようにDNSリーク保護が標準搭載されたVPNを使えば、特別な設定なしでリスクを最小化できます。
DNSリーク対策のまとめ
DNSリーク対策を総合すると、最も確実な防御は「DNSリーク保護が標準搭載された信頼できるVPNを使う」ことに尽きます。NordVPNは全サーバーにプライベートDNSを内蔵し、ExpressVPNもサーバーごとにDNSを運用しています。これらのVPNを使っていれば、OS側の複雑な設定を手動で行わなくても、自動的にDNSリークが防止されます。
手動設定に自信がない場合でも、アプリの設定画面で「DNSリーク保護」が有効になっていることを確認するだけで十分です。DNSリークは目に見えない問題であるがゆえに放置されがちですが、VPNを使うからにはプライバシーを完全に守りたいもの。定期チェックの習慣づけが、あなたのオンラインプライバシーを確実に保護します。