WWDCで Apple は今年、iOS と macOS に暗号化された DNS のサポートを実装することで、他社がこれまで進めてきたことに大胆に取り組みます。
「今年から、Appleのプラットフォームは暗号化されたDNSをネイティブでサポートします」と、インターネット技術エンジニアのトミー・ポーリー氏は、今年は必要に迫られて仮想化されたAppleの2020年世界開発者会議のビデオプレゼンテーションで述べた。
具体的には、macOS 11、iOS 14、Mac Catalystフレームワーク14(iPadアプリのMac版向け)がDNS-over-TLS(DoT)とDNS-over-HTTPS(DoH)をサポートします。これらのAppleオペレーティングシステムアップデートは、今年後半、おそらく9月か10月にリリースされる予定です。
ブラウザでウェブサイトにアクセスしたり、アプリ経由でサービスに接続したりすると、ソフトウェアは通常、バックグラウンドでドメインネームシステム(DNS)クエリをDNSサーバー(ISPが提供するものなど)に送信し、theregister.comのようなドメイン名をプログラムが使用できるネットワークIPアドレスに変換します。これらのクエリは通常暗号化されずに送信されるため、ネットワークパス上の盗聴者は、ユーザーが使用しているサイトやサービスの名前を盗み見ることができ、クエリ結果を改ざんして悪意のあるウェブサイトにリダイレクトすることができます。
暗号化された DNS は、その名前が示すとおり、クエリを暗号化して、詮索好きや干渉者から保護します。
DoTは2014年に形になり始めました。DoHを標準として確立するための提案は2017年に起草されました。そして1年後、Usenixカンファレンスで発表された研究論文では、DNSクエリの約8.5%がサービスプロバイダーによって傍受されていると報告され、セキュリティ強化の必要性が強調されました。
その頃、標準が整備され、インターネット企業は DNS クエリの暗号化に真剣に取り組むようになり、DoH によってネットワーク管理者の権限が奪われ、卑猥なコンテンツや違法コンテンツからユーザーを保護するために設置されたフィルターをユーザーが無視できるようになるという議論が起こりました。
Cloudflareは、2018年に1.1.1.1 DNSサービスを開始し、DNS-over-TLSおよびDNS-over-HTTPSクエリのサポートを開始しました。Mozillaは昨年、DoHサポートの展開を開始しました。
Googleは昨年DoHのテストを開始し、最近Chrome 83に実装しました。Microsoftは昨年セキュアDNSについて発表し、現在Windows向けにテストを行っています。Comcastも今週Firefoxでこの流れに加わりました。
さて、話をAppleに戻しましょう。
Appleの暗号化DNSサポートが今年のWWDCで披露される
Apple の更新されたコードにより、DNS サービスを提供する企業や、モバイル デバイス管理を通じて企業ソフトウェアを管理する企業組織は、暗号化されたトランスポートを使用するように DNS 設定を構成するアプリを作成できるようになります。
例えば、Cloudflareのようなサービスプロバイダーは、このNEDNSSettingsクラスを使用してネットワーク拡張アプリを作成し、Cloudflareのリゾルバを使用してデバイスをシステム全体でDoT/DoHに切り替えることができます。MDMを使用している組織は、管理対象デバイスにプロファイルを適用することで、これを実現できます。
NWParameters.PrivacyContext開発者は、オブジェクトと標準のネットワーク APIを使用して、暗号化された DNS 経由でアプリ固有の接続を行うことをユーザーが選択できる個別のアプリを作成することもできます。
ビデオで示されているように、暗号化された DNS を実装した iOS アプリは、[設定] -> [一般] -> [VPN とネットワーク] (現在の iOS 13 システムでは単に「VPN」と呼ばれるメニュー) からアクティブ化できます。
遅くてもやらないよりはいい。®
