DNSブロックとはなんなのか

DNSブロックとは、DNSの名前解決を制御することで、特定のWebサイトやサービスへのアクセスを制限する仕組みです。

通常、ユーザーがWebサイトへアクセスするときは、ブラウザに入力したドメイン名をもとに、DNSが対応するIPアドレスを調べます。

たとえば「example.com」にアクセスする場合、DNSによって「example.comに対応するIPアドレス」が確認され、そのIPアドレスのサーバーへ接続します。

しかしDNSブロックが行われている場合、ユーザーが利用しているDNSリゾルバやフィルタリングDNSが、対象ドメインに対して正しいIPアドレスを返さなかったり、存在しないドメインとして応答したり、別のIPアドレスを返したりします。

その結果、ユーザーは目的のサイトにアクセスできなくなります。

つまりDNSブロックは、Webサイトそのものを削除したり、サーバーを停止させたりする仕組みではありません。

ドメイン名からIPアドレスを調べる段階でアクセスを制限する方法です。

DNSの基本的な仕組み

DNSはドメイン名をIPアドレスに変換する仕組み

DNSとは「Domain Name System」の略で、ドメイン名とIPアドレスを対応させる仕組みです。

インターネット上のサーバーは、本来「192.0.2.1」のようなIPアドレスで識別されています。

しかし、数字の羅列であるIPアドレスは人間にとって覚えにくいため、Webサイトでは「example.com」のようなドメイン名が使われています。

DNSは、このドメイン名をIPアドレスに変換する役割を持っています。

よくDNSは「インターネット上の電話帳」にたとえられます。

人間が覚えやすい名前であるドメイン名を、コンピューターが接続先として利用するIPアドレスに変換するためです。

Webサイトにアクセスするまでの流れ

ユーザーがWebサイトにアクセスすると、一般的には次のような流れで処理が行われます。

1. ユーザーがブラウザにドメイン名を入力する
2. 端末やブラウザがDNSに問い合わせる
3. DNSリゾルバが対象ドメインのIPアドレスを調べる
4. IPアドレスがブラウザに返される
5. ブラウザがそのIPアドレスのサーバーへ接続する
6. Webページが表示される

DNSブロックは、このうち名前解決の段階でアクセスを止める仕組みです。

そのため、対象サイトのサーバー自体が稼働していても、ユーザーが利用しているDNS環境によってはサイトに接続できない状態になります。

DNSブロックの仕組み

正しいIPアドレスを返さない

DNSブロックの代表的な方法は、対象ドメインに対して正しいIPアドレスを返さないことです。

本来であれば、DNSに問い合わせることで対象サイトのIPアドレスが返ってきます。

しかし、DNSブロックが設定されている場合、利用中のDNSリゾルバが正しい応答を返さないため、ブラウザは接続先を見つけられません。

この場合、ユーザー側では以下のようなエラーが表示されることがあります。

• このサイトにアクセスできません
• サーバーのIPアドレスが見つかりませんでした
• DNS_PROBE_FINISHED_NXDOMAIN
• 名前解決に失敗しました

ただし、表示されるエラー内容はブラウザ、OS、DNSブロックの方式によって異なります。

存在しないドメインとして応答する

DNSブロックでは、対象ドメインを存在しないドメインとして扱う場合があります。

この場合、実際には存在しているWebサイトであっても、ユーザーが利用しているDNSリゾルバからは「存在しないドメイン」のように見えます。

技術的には、NXDOMAINという応答が使われることがあります。

NXDOMAINは、問い合わせたドメイン名が存在しないことを示すDNS応答です。

ただし、DNSブロックの実装方法はNXDOMAINだけではありません。

場合によっては、DNS問い合わせを拒否する、処理失敗のように応答する、応答を返さずタイムアウトさせるといった方式もあります。

別のIPアドレスを返す

DNSブロックでは、対象サイトの正しいIPアドレスではなく、別のIPアドレスを返すこともあります。

この方式では、ユーザーを以下のようなページに誘導する場合があります。

• ブロック通知ページ
• 警告ページ
• フィルタリングサービスの案内ページ
• セキュリティ上の注意ページ

たとえば、危険なサイトにアクセスしようとした際に「このサイトは危険な可能性があります」「このページはポリシーによりブロックされています」といった画面が表示されるケースです。

ただし、現在のWebサイトの多くはHTTPSを利用しています。

HTTPSサイトで別のIPアドレスへ誘導しようとすると、証明書の不一致によってブラウザに警告が表示される場合があります。

そのため、必ずしも意図したブロックページがきれいに表示されるとは限りません。

応答を返さずタイムアウトさせる

DNS問い合わせに対して、あえて応答を返さないことでアクセスを失敗させる方法もあります。

この場合、ユーザーの端末やブラウザは一定時間DNS応答を待ちますが、最終的に名前解決に失敗し、サイトにアクセスできない状態になります。

ユーザーから見ると、サイトが重いのか、通信環境が悪いのか、DNSブロックされているのか判断しにくい場合があります。

DNSブロックが使われる主な場面

フィッシングサイトへのアクセス防止

DNSブロックは、フィッシングサイト対策として使われることがあります。

フィッシングサイトとは、銀行、クレジットカード会社、ECサイト、SNS、メールサービスなどを装い、ID、パスワード、クレジットカード情報、個人情報などを盗み取ろうとする偽サイトのことです。

セキュリティDNSやフィルタリングサービスでは、危険なドメインのリストをもとに、ユーザーがフィッシングサイトへアクセスしようとした段階でDNSレベルのブロックを行う場合があります。

DNSブロックによって、ユーザーが偽サイトに接続する前の段階でアクセスを止められるため、被害防止に役立つことがあります。

マルウェア配布サイトへのアクセス防止

DNSブロックは、マルウェアを配布しているサイトへのアクセスを防ぐ目的でも使われます。

マルウェアとは、ウイルス、トロイの木馬、ランサムウェア、スパイウェアなど、利用者や端末に害を与える不正なプログラムの総称です。

マルウェア配布サイトへのアクセスをDNS段階で止めることで、端末が不正なファイルをダウンロードしたり、危険なサーバーと通信したりするリスクを下げられます。

また、すでに感染した端末が外部の指令サーバーと通信しようとする場合にも、DNSブロックによって通信を妨げられることがあります。

有害サイトや不適切サイトのフィルタリング

DNSブロックは、学校、家庭、企業などで有害サイトや不適切サイトへのアクセスを制限するためにも利用されます。

たとえば、以下のようなカテゴリがブロック対象になることがあります。

• アダルトサイト
• 違法アップロードサイト
• ギャンブル関連サイト
• 暴力的なコンテンツ
• 詐欺の疑いがあるサイト
• 業務や学習に関係のないサイト
• 一部のSNSや動画サイト

どのサイトをブロックするかは、利用しているフィルタリングサービスや管理者の設定によって異なります。

家庭ではペアレンタルコントロールとして、学校では学習環境の保護として、企業では業務効率やセキュリティ対策として利用されることがあります。

企業ネットワークのセキュリティ対策

企業では、DNSブロックがセキュリティ対策の一部として導入されることがあります。

主な目的は以下の通りです。

• 危険なドメインへのアクセスを防ぐ
• マルウェア感染サイトとの通信を遮断する
• フィッシングサイトへの接続を防ぐ
• 業務に不要なサイトへのアクセスを制限する
• 情報漏えいにつながるサービスの利用を抑制する
• シャドーITの利用を管理する

DNSブロックは、端末ごとに個別設定しなくても、社内DNSやネットワーク側の設定によって広範囲に適用しやすいという特徴があります。

ただし、DNSブロックだけで企業セキュリティを完全に守れるわけではありません。

実際には、EDR、ファイアウォール、プロキシ、メールセキュリティ、URLフィルタリング、従業員教育などと組み合わせて使われることが一般的です。

ペアレンタルコントロール

家庭では、子どもが不適切なサイトにアクセスしないようにするため、DNSフィルタリングを利用することがあります。

ルーターや端末のDNS設定を変更することで、家庭内の複数端末にまとめてフィルタリングを適用できる場合があります。

スマートフォン、タブレット、パソコン、ゲーム機など、家庭内のさまざまな端末に対して一定のアクセス制限をかけられる点がメリットです。

DNSブロックとDNSフィルタリングの違い

DNSブロックはアクセス遮断を指すことが多い

DNSブロックは、特定のドメインへのアクセスをDNSレベルで遮断する行為を指すことが多い言葉です。

たとえば、ある危険なドメインに対して正しいIPアドレスを返さないようにする、存在しないドメインとして応答する、ブロックページへ誘導する、といった対応がDNSブロックにあたります。

つまり、DNSブロックは「アクセスを止める」という行為に重点があります。

DNSフィルタリングは分類・制御の仕組み全体を指す

一方、DNSフィルタリングは、DNSを使ってアクセス先を分類し、許可・遮断・警告などを行う仕組み全体を指すことが多い言葉です。

たとえば、フィルタリングサービスがドメインを以下のようなカテゴリに分類し、設定に応じてアクセスを制御します。

• 安全なサイト
• フィッシングサイト
• マルウェア関連サイト
• アダルトサイト
• ギャンブルサイト
• SNS
• 動画配信サイト
• 業務上許可されたサイト
• 業務上禁止されたサイト

DNSフィルタリングの中で、アクセスを遮断する処理がDNSブロックです。

ただし、実務上は「DNSブロック」と「DNSフィルタリング」が明確に区別されず、似た意味で使われることもあります。

DNSブロックとサイトブロッキングの違い

サイトブロッキングはアクセス制限全般を指す

サイトブロッキングとは、特定のWebサイトへのアクセスを制限する方法全般を指します。

DNSブロックは、サイトブロッキングの一種です。

サイトブロッキングには、DNSを使う方法以外にもさまざまな方式があります。

サイトブロッキングの主な方式

代表的なサイトブロッキングの方式には、以下のようなものがあります。

方式	内容
DNSブロック	DNSの名前解決を制御してアクセスを止める
IPブロック	特定のIPアドレスへの通信を遮断する
URLフィルタリング	URL単位でアクセスを制限する
SNIフィルタリング	HTTPS接続時の接続先情報をもとに制限する
プロキシによる制御	通信を中継し、アクセス先を判定する
端末・アプリ側の制御	ブラウザ、OS、セキュリティソフトなどで制限する

DNSブロックは、これらの中でも比較的導入しやすく、ネットワーク全体に適用しやすい方式です。

一方で、DNSレベルでの制御であるため、URL単位の細かな制御や、アプリ内の特定機能だけを制限する用途には向いていない場合があります。

DNSブロックのメリット

導入しやすい

DNSブロックは、比較的導入しやすいアクセス制限方法です。

利用するDNSサーバーをフィルタリング機能付きのDNSに変更したり、社内DNSで特定ドメインへの応答を制御したりすることで、一定のアクセス制限を実現できます。

家庭や小規模なネットワークでは、ルーターのDNS設定を変更するだけでフィルタリングを適用できる場合もあります。

ネットワーク全体に適用しやすい

DNSブロックは、ネットワーク全体に適用しやすい点が大きなメリットです。

たとえば、家庭用ルーターにフィルタリングDNSを設定すれば、同じWi-Fiに接続している複数の端末にまとめて制限をかけられる場合があります。

企業でも、社内DNSやネットワーク機器を通じて設定すれば、従業員の端末に対して一括でポリシーを適用しやすくなります。

危険サイトへの接続前に止められる

DNSブロックは、Webサイトへ実際に接続する前の名前解決段階でアクセスを制限します。

そのため、フィッシングサイトやマルウェア配布サイトなど、危険なサーバーとの通信を未然に防ぎやすいというメリットがあります。

ユーザーが危険なURLをクリックした場合でも、DNS段階で止められれば、実際のサイト表示やファイルダウンロードに進む前にリスクを下げられます。

通信内容を詳細に解析しなくても制御できる

DNSブロックは、基本的に「どのドメインにアクセスしようとしているか」をもとに制御します。

通信内容そのものを詳細に解析しなくても、ドメイン単位でアクセスを許可・遮断できるため、比較的シンプルに運用できます。

ただし、これは裏を返すと、ページ単位や機能単位で細かく制御するには限界があるということでもあります。

DNSブロックのデメリット・限界

完全な遮断ではない

DNSブロックは、完全なアクセス遮断方法ではありません。

あくまでDNSによる名前解決を制御する仕組みであるため、利用者が別のDNSリゾルバを使ったり、VPNを利用したり、DNS over HTTPSやDNS over TLSなどの暗号化DNSを使ったりすると、従来型のDNSブロックが効きにくくなる場合があります。

ただし、暗号化DNSを使えば必ずDNSブロックを回避できるというわけではありません。

企業や学校などの管理ネットワークでは、外部DNSや暗号化DNSの利用自体が制限されていることもあります。

また、端末管理、プロキシ、ファイアウォール、EDRなどによって、DNS以外の経路でもアクセス制御が行われる場合があります。

誤ブロックが起きる可能性がある

DNSブロックでは、ドメイン単位でアクセスを制限することが多いため、誤ブロックが起きる可能性があります。

たとえば、あるドメイン配下の一部ページだけが問題であっても、ドメイン全体をブロックすると、問題のないページまで見られなくなる場合があります。

また、クラウドサービスやCDNを利用しているWebサイトでは、複数のサービスが同じ基盤を利用していることもあります。

ブロック設定が適切でないと、想定より広い範囲に影響が出ることがあります。

URL単位の細かな制御には向いていない

DNSブロックは、主にドメイン単位でアクセスを制御します。

そのため、以下のような細かな制御には向いていない場合があります。

• 特定サイト内の一部ページだけをブロックする
• 特定アプリ内の一部機能だけを制限する
• 同じドメイン内の安全なページと危険なページを分ける
• URLパスやクエリ単位で制御する

URL単位の制御が必要な場合は、URLフィルタリング、プロキシ、アプリ制御、セキュリティソフトなど、別の仕組みと組み合わせる必要があります。

HTTPSやCDNの影響を受けることがある

現在のWebサイトでは、HTTPSやCDNの利用が一般的です。

そのため、DNSブロックだけでは意図どおりに制御できない場合があります。

たとえば、DNSで別のIPアドレスに誘導してブロックページを表示しようとしても、HTTPS証明書の不一致によってブラウザの警告が表示されることがあります。

また、CDNを利用しているサイトでは、IPアドレスや配信元が動的に変わることもあります。

そのため、DNSブロックの設定や運用には注意が必要です。

DNSブロックされるとどう見えるのか

サイトにアクセスできないエラーが表示される

DNSブロックされると、ユーザーの画面には「サイトにアクセスできません」「サーバーのIPアドレスが見つかりませんでした」といったエラーが表示されることがあります。

この場合、ユーザーから見ると、サイト側の障害なのか、自分の通信環境の問題なのか、DNSブロックなのかをすぐに判断するのは難しい場合があります。

ブロックページが表示される

DNSブロックの方式によっては、ブロック通知ページや警告ページが表示されることがあります。

たとえば、企業や学校のネットワークでは、以下のようなメッセージが表示される場合があります。

• このサイトはポリシーによりブロックされています
• このページは安全でない可能性があります
• このカテゴリのサイトへのアクセスは制限されています
• 管理者によりアクセスが禁止されています

このような表示が出る場合は、DNSブロックやフィルタリングサービスによってアクセスが制限されている可能性があります。

ネットワークによってアクセス可否が変わる

DNSブロックが行われている場合、同じWebサイトでもネットワークによってアクセスできたりできなかったりすることがあります。

たとえば、以下のようなケースです。

• 会社のWi-Fiではアクセスできないが、自宅ではアクセスできる
• 学校のネットワークではアクセスできないが、モバイル回線ではアクセスできる
• 特定のDNSサービスを使っている端末だけアクセスできない
• 一部の国や地域からだけアクセスできない

このような場合、特定のネットワークやDNSリゾルバでDNSブロックが行われている可能性があります。

DNSブロックを確認する方法

別のネットワークで確認する

DNSブロックが疑われる場合は、まず別のネットワークから同じサイトにアクセスしてみると確認しやすくなります。

たとえば、会社のWi-Fiでアクセスできない場合に、スマートフォンのモバイル回線ではアクセスできるかを確認します。

特定のネットワークだけでアクセスできない場合、そのネットワークでDNSブロックやフィルタリングが行われている可能性があります。

別のDNSサーバーで名前解決を確認する

同じドメインに対して、複数のDNSサーバーで名前解決結果を比較する方法もあります。

プロバイダのDNS、企業や学校のDNS、パブリックDNS、セキュリティDNSなどで結果が大きく異なる場合、DNSブロックやDNSフィルタリングが関係している可能性があります。

ただし、企業や学校のネットワークでは、DNS設定の変更が禁止されている場合があります。

管理されたネットワークでは、組織のルールに従う必要があります。

nslookupやdigで確認する

技術的に確認する場合は、nslookup や dig などのコマンドを使います。

たとえば、以下のように確認できます。

nslookup example.com

または、

dig example.com

特定のDNSサーバーを指定して確認する場合は、以下のように入力します。

dig example.com @8.8.8.8

dig example.com @1.1.1.1

DNSサーバーごとに応答が異なる場合、DNSブロック、DNSフィルタリング、キャッシュ、設定差異などが関係している可能性があります。

DNSブロックとDNS障害の違い

DNSブロックは意図的なアクセス制限

DNSブロックは、特定の目的に基づいて意図的にアクセスを制限する仕組みです。

たとえば、フィッシングサイト、マルウェア配布サイト、有害サイト、業務上不要なサイトなどへのアクセスを防ぐために設定されます。

この場合、サイト自体に問題があるとは限らず、利用しているネットワークやDNSサービスのポリシーによってアクセスが制限されています。

DNS障害は意図しないトラブル

一方、DNS障害は、DNSサーバーの障害、設定ミス、レコードの誤設定、権威DNSの問題などによって、意図せず名前解決ができなくなる状態です。

DNS障害が起きると、本来アクセスできるはずのWebサイトに接続できなくなります。

Webサイト運営者にとっては、DNS障害やDNS設定ミスの方が深刻な問題になることがあります。

検索エンジンのクローラーがサイトを名前解決できない状態が続くと、クロールやインデックスに悪影響が出る可能性があるためです。

DNSブロックとDNS障害の比較

項目	DNSブロック	DNS障害
原因	意図的な制限	設定ミスや障害
目的	セキュリティ、管理、規制など	目的はなくトラブル
対象	特定ドメインやカテゴリ	本来アクセス可能なドメイン
起きる場所	DNSリゾルバ、フィルタリングDNS、ネットワーク側など	権威DNS、DNS設定、ネットワークなど
ユーザーからの見え方	アクセス不可、ブロックページ表示など	アクセス不可、名前解決失敗など
対応方法	管理者やDNSサービスの設定確認	DNS設定修正、障害復旧など

DNSブロックとDNS障害は、ユーザーから見ると似たように見えることがあります。

しかし、原因や対応方法は異なります。

DNSブロックの回避についての注意点

技術的には回避できる場合がある

DNSブロックは、名前解決の段階でアクセスを制限する仕組みです。

そのため、技術的には以下のような方法でDNSブロックの影響を受けにくくなる場合があります。

• 別のDNSリゾルバを使う
• VPNを利用する
• DNS over HTTPSを利用する
• DNS over TLSを利用する
• 別のネットワークからアクセスする

ただし、これらの方法で必ず回避できるとは限りません。

ネットワーク側で外部DNSやVPNの利用が制限されている場合や、端末側で管理ポリシーが設定されている場合は、DNSブロック以外の方法でもアクセスが制御されることがあります。

管理ネットワークではルールに従う必要がある

会社、学校、公共施設、家庭内の管理されたネットワークでは、DNSブロックにセキュリティ上・管理上の理由があることが多いです。

そのため、許可なくDNSブロックを回避しようとすると、社内規定、学校の利用規則、サービス利用条件などに違反する可能性があります。

業務用端末や組織のネットワークでアクセス制限に困った場合は、まず管理者に確認するのが適切です。

DNSブロックと通信の秘密・検閲の論点

DNSブロックは法的・社会的な議論になることがある

DNSブロックは、セキュリティ対策やフィルタリングとして有効な場面がある一方で、法的・社会的な議論の対象になることもあります。

特に、通信事業者や政府などが広い範囲のユーザーに対して特定サイトへのアクセスを遮断する場合、以下のような論点が出てきます。

• 通信の秘密との関係
• 表現の自由への影響
• 誰がブロック対象を決めるのか
• 誤ブロックが起きた場合の救済方法
• ブロック基準の透明性
• 過剰なアクセス制限にならないか
• 検閲につながらないか

DNSブロックは技術的には比較的実施しやすい方法ですが、社会全体に影響する形で使う場合には慎重な議論が必要です。

利用場面によって評価は異なる

同じDNSブロックでも、利用場面によって意味合いは異なります。

たとえば、企業が社内ネットワークで危険サイトをブロックする場合、業務上のセキュリティ対策として扱われることが多いです。

家庭で子ども向けに有害サイトを制限する場合は、ペアレンタルコントロールの一環として利用されます。

一方、通信事業者がユーザーの同意なく特定サイトへのアクセスを広範囲に遮断する場合は、通信の秘密や表現の自由との関係で慎重に考える必要があります。

つまり、DNSブロックは一律に良い・悪いと判断できるものではなく、目的、対象、範囲、透明性、利用者の同意、代替手段の有無などによって評価が変わります。

DNSブロックに関するよくある質問

DNSブロックされるとサイト自体が消えるのですか？

いいえ、DNSブロックされてもサイト自体が削除されるわけではありません。

DNSブロックは、ユーザーが利用しているDNS環境において、対象ドメインの名前解決を制限する仕組みです。

そのため、別のネットワークや別のDNS環境からは、通常どおりアクセスできる場合があります。

DNSブロックとアクセス禁止は同じですか？

近い意味で使われることはありますが、厳密には異なります。

アクセス禁止は、Webサイトやサービスへのアクセスを制限すること全般を指します。

その方法の一つがDNSブロックです。

アクセス禁止には、DNSブロックのほかに、IPブロック、URLフィルタリング、アカウント制限、アプリ制御などさまざまな方法があります。

DNSブロックは完全に安全な対策ですか？

DNSブロックは有効なセキュリティ対策の一つですが、単独で完全な安全を保証するものではありません。

危険サイトへのアクセスをDNS段階で止められるメリットはありますが、別の通信経路や暗号化DNS、VPN、IP直指定、アプリ独自の通信などによって制御が効きにくくなる場合があります。

そのため、DNSブロックは他のセキュリティ対策と組み合わせて使うことが重要です。

DNSブロックとDNS浸透は関係ありますか？

DNSブロックと、いわゆる「DNS浸透」は別の話です。

DNSブロックは、特定ドメインへのアクセスをDNSレベルで制限する仕組みです。

一方、「DNS浸透」という表現は、DNSレコード変更後に各DNSリゾルバのキャッシュが更新され、変更後の情報が参照されるまでに時間差が生じる現象を指して使われることがあります。

ただし「DNS浸透」という表現は、技術的にはやや曖昧で誤解を招きやすい言い方です。

正確には、DNSキャッシュ、TTL、リゾルバごとの更新タイミングなどの影響によって、反映に時間差が出ると説明する方が適切です。

DNSブロックとは何かを簡単にまとめると

DNSブロックとは、DNSの名前解決を制御することで、特定のWebサイトやサービスへのアクセスを制限する仕組みです。

Webサイトそのものを削除するのではなく、ユーザーが利用するDNSリゾルバやフィルタリングDNSが、対象ドメインに対して正しいIPアドレスを返さない、存在しないドメインとして応答する、別のIPアドレスを返すなどしてアクセスを止めます。

DNSブロックは、フィッシングサイトやマルウェア配布サイトへのアクセス防止、有害サイトのフィルタリング、企業ネットワークのセキュリティ対策、家庭のペアレンタルコントロールなどで使われます。

一方で、DNSブロックは完全な遮断方法ではありません。

暗号化DNS、VPN、別のDNSリゾルバなどによって効きにくくなる場合があり、URL単位の細かな制御にも限界があります。

また、DNSブロックとDNS障害は別物です。

DNSブロックを理解する際は、単に「サイトを見られなくする仕組み」と考えるのではなく、DNSの名前解決に介入してアクセスを制限する方法として捉えることが重要です。

以上、DNSブロックとはなんなのかについてでした。

最後までお読みいただき、ありがとうございました。