VPN接続におけるDNSについて

VPNを利用する目的は、多くの場合「通信内容の保護」「匿名性の確保」「ネットワーク制限の回避」にあります。

しかし、VPN接続が成立していても DNSの扱いを誤ると、その目的は部分的にしか達成されません。

DNSは通信の前段に位置するため、VPN利用時の挙動を正しく理解していないと「IPアドレスは隠れているが、アクセス先は把握されている」という不完全な状態に陥ります。

以下では、VPNとDNSの関係を正確に整理します。

DNSとは何か

DNS（Domain Name System）は、人間が理解しやすいドメイン名を、通信可能なIPアドレスへ変換する仕組みです。

通信は常に以下の順で進みます。

1. ドメイン名の名前解決（DNS問い合わせ）
2. IPアドレスの取得
3. 実際の通信開始

つまり、DNSは通信の入口情報であり、どこにアクセスしようとしているかを示す重要なメタデータでもあります。

VPN接続時に理想とされるDNSの流れ

VPN接続が正しく機能している場合、通信は以下のように処理されます。

• DNS問い合わせ → VPNトンネル内
• 実通信 → VPNトンネル内
• VPN出口 → インターネット

この状態では、ISP（プロバイダ）やローカルネットワーク管理者からは アクセス先のドメイン情報を直接観測できません。

DNSリークの正確な定義

DNSリークとは、VPN接続中であるにもかかわらず、DNS問い合わせがVPNトンネル外へ送信されてしまう状態を指します。

ここで重要なのは以下の点です。

• DNSが暗号化されているかどうかは本質ではない
• 問題は「VPN外へ出ているかどうか」

たとえDNS over HTTPS（DoH）などで暗号化されていても、VPNで保護されるべき通信経路から逸脱していれば、「VPN利用の前提が崩れている」という意味でDNSリークと扱われます。

DNSリークが引き起こす影響

DNSリークが発生すると、次のような問題が生じます。

• ISPやネットワーク管理者にアクセス先ドメインが把握される可能性
• 地域制限・国別制限の回避が失敗する
• VPNの匿名性が部分的に失われる
• 公共Wi-Fiなどでの安全性が低下する

特に注意すべき点は、通信内容が暗号化されていても「どこへ行こうとしたか」は分かるという点です。

VPN利用時のDNSの種類と評価

VPNプロバイダが提供するDNS

• VPNトンネル内で完結
• VPN設計と整合性が取れている
• ログポリシーが明示されている場合が多い

一般的には 最も安全性と一貫性が高い選択 です。

ISP（プロバイダ）のDNS

• VPN未使用時のデフォルト設定
• VPN接続中でも使われるとDNSリークになる

VPN利用時には 意図しない限り避けるべき です。

パブリックDNS（Google DNS、Cloudflare DNSなど）

• 高速・安定という利点がある
• VPN用途での可否は「経路次第」

重要なのは、そのDNSがVPNトンネル内から利用されているかどうかです。

パブリックDNSであっても、VPNトンネル内で到達していれば問題ありません。

逆にVPN外で到達していればDNSリークになります。

OSごとに起こりやすいDNSの問題

Windows

• 複数のネットワークインターフェースへDNS問い合わせを送る挙動がある
• VPNクライアントの実装次第でDNSリーク要因になる

macOS

• 接続優先順位やSplit Tunnel設定によりDNS経路が分岐する場合がある

iOS / Android

• OSやアプリが独自にDNSを処理することがあり、VPNの制御外になるケースがある

IPv6とDNSリークの関係

IPv6はDNSリークの原因として非常に重要です。

• VPNがIPv4通信のみを前提としている場合
• OS側でIPv6が有効な場合

この組み合わせでは、

• IPv4通信 → VPN経由
• IPv6通信 → 通常回線経由

という分断が起きることがあります。

結果として、IPv6側のDNS問い合わせだけがVPN外へ出る ケースが発生します。

対策としては、

• IPv6を無効化する
• IPv6対応が明確なVPNを使用する
• OS側でIPv6のDNS挙動を制御する

といった方法があります。

DNS over HTTPS（DoH）/ DNS over TLS（DoT）との関係

近年のブラウザやOSは、DoH / DoTを標準的にサポートしています。

これ自体はセキュリティ向上に有効ですが、VPN環境では注意が必要です。

• ブラウザが独自にDNS解決を行う
• OSやVPN設定と異なるDNSを使う場合がある
• 社内DNSやVPN指定DNSを迂回することがある

つまり、DoHは安全だが、VPN設計と整合していないと問題になるという位置づけです。

Split Tunnel利用時のDNS設計

Split Tunnelは便利ですが、DNS設計を誤ると不整合が生じます。

• 通信はVPN経由
• DNSは通常回線

という状態になると、DNSリークと同等の問題が発生します。

安全な設計では、

• DNSは常にVPN側へ集約
• 通信経路のみを分岐

という考え方が取られます。

DNSリークの確認についての正しい考え方

DNSチェックで重要なのは、

• 「誰のDNSか」よりも
• 「意図したDNSかどうか」

VPN利用中に、

• ISPのDNSが見える → 多くの場合は問題
• VPN指定のDNSが見える → 想定通り
• 外部DNSが見える → 設計次第で問題にも正常にもなる

という判断になります。

まとめ

• VPNの安全性は「通信経路」だけでなく「DNS経路」によって決まる
• DNSリークとは「VPN外へDNSが出ること」であり、暗号化の有無は本質ではない
• IPv6、DoH、Split TunnelはDNS設計を複雑にする要因
• 正しいVPN運用には、DNSの挙動を明示的に把握・制御することが不可欠

以上、VPN接続におけるDNSについてでした。

最後までお読みいただき、ありがとうございました。