DNSフィルタリングはプライバシーを強めるのか、それとも「目立つ」のか
今回はちょっと難しい専門的な質問にお答えします。
技術的なことを含みますので理解できなくても全然OKです。
アンチスパイフォンはこんな難しいことを理解できなくても、設定済みでどなたでも簡単に利用できますのご安心ください。
この記事の結論(先に書きます)
暗号化+フィルタリング型のDNSは、「あなたのすぐそば」にいる相手に対しては、確実にプライバシーを強めます。
ここでいう「すぐそば」とは、契約しているISP、カフェや職場のWi-Fi運営者、同じネットワークにいる誰か、といった経路上の観測者です。
彼らからは、これまで丸見えだった「どのサイトを引きにいったか」が見えなくなります。
しかし同時に、暗号化DNSは匿名性を与えてくれるわけではありません。
それどころか、設定や選んだサービス次第では、ネットワーク上で「少数派として目立つ」原因にもなります。
つまり、タイトルの問いに対する正直な答えは
「どちらも起こる。誰から守りたいか(脅威モデル)次第」です。
この記事では、なぜ両方が同時に起こるのかを、仕組みのレベルで噛み砕いていきます。
そもそもDNSはなぜプライバシーの話になるのか
DNSは、example.com のような名前を、コンピュータが通信に使うIPアドレスに翻訳する「電話帳」のような仕組みです。
何かサイトを開くたび、アプリが通信するたびに、ほぼ必ずこの問い合わせ(クエリ)が走ります。
問題は、昔ながらのDNSが暗号化されていないことです。
設計された時代にはプライバシーという発想がなく、クエリは平文で飛びます。その結果、
- ISPは、あなたがどのドメインを引いたかを記録・分析できる
- 同じWi-Fiにいる第三者も、覗き見たり書き換えたりできる
- 国によっては、DNSが検閲の「関所」として使われる
という状態が、初期設定では当たり前に起きています。
ここを塞ぐのが暗号化DNSです。代表的なプロトコルは3つあります。
- DoH(DNS over HTTPS):通常のWebと同じ443番ポートを使うため、ほかのHTTPS通信に紛れて見分けがつきにくく、ブロックもされにくい
- DoT(DNS over TLS):853番という専用ポートを使う。管理は明快だが、専用ポートゆえに「DNSを暗号化している」こと自体は分かりやすく、制限の厳しいネットワークでは塞がれることがある
- DoQ(DNS over QUIC):QUIC上で動かす新しめの方式
Androidの「プライベートDNS」設定は、この中のDoT(ホスト名で指定する方式)を使っています。
アンチスパイフォンでも基本は同じで、標準のプライベートDNS、もしくは後述のアプリ経由で暗号化DNSを使うことになります。
暗号化DNSが「守るもの」と「守らないもの」
ここが一番誤解されやすいポイントです。暗号化DNSは万能のクロークではありません。
守ってくれるもの:
- 経路上の観測者(ISP・Wi-Fi運営者・中間者)から、クエリの中身を隠す
- 通信途中での改ざん・乗っ取りを防ぐ
守ってくれないもの:
-
リゾルバ運営者からは、すべて丸見え 暗号化したクエリは、最終的にどこかのDNSリゾルバが平文に戻して処理します。つまりあなたは「ISPに見せていたもの」を「DNS事業者に見せる」ように、信頼の宛先を移しただけとも言えます。事業者がログを取れば、あなたの行動履歴はそこに集まります。
-
「どのリゾルバに繋いでいるか」は隠れない DoHでもDoTでも、接続先サーバーのIPアドレスや、TLS接続時のサーバー名(SNI)は経路上から見えます(SNIを暗号化するECHが有効でない限り)。中身は読めなくても、「この人は◯◯のDNSに繋いでいる」という事実は観測できます。
-
訪問先サイトすら、暗号化越しに推定されうる 学術研究では、暗号化されたDNSトラフィックでも、パケットのサイズ・数・タイミングといった「形」から、訪問先のWebサイトをかなりの精度で当てられることが示されています(Siby らの NDSS 2020 論文、Bushart らの研究など)。EDNS0パディングという緩和策はありますが、効果は限定的だと報告されています。
この「守らないもの」の2番と3番こそが、タイトルの「目立つ」につながる部分です。
あなたを「目立たせる」4つの仕組み
① リゾルバへの信頼の集中
ISPに分散していた可視性が、一社のDNS事業者に集約されます。
その事業者がログを取らない・監査を受けている・管轄が良い、といった条件が揃えば利点ですが、逆に言えば「全部を一箇所に預ける」構図そのものは、攻撃や開示請求の的を一点に絞ることにもなります。
② プロファイルIDという「固定の識別子」
NextDNSやmodDNSのようなカスタマイズ型サービスは、ユーザーごとに設定プロファイルを作り、その一意のIDをDoHのURLパスに埋め込みます。
たとえばNextDNSなら https://dns.nextdns.io/abc123/... の abc123 の部分です。
このIDは経路上ではTLSの中に隠れますが、リゾルバ運営者から見れば、あなたの全クエリが同一のIDに紐づいた状態になります。
さらにNextDNSにはデバイス名やデバイスID(X-Device-Id)をログに付与する機能もあり、便利な反面、識別子としての性格を強めます。
プロファイルIDは長期間変わらない、まさに「指紋」になり得る値です。
③ 接続先という指紋 = 匿名集合(anonymity set)の大きさ
ここが「目立つ/目立たない」を左右する核心です。
前述の通り、「どのリゾルバに繋いでいるか」は経路上から見えます。
すると、そのネットワークで同じリゾルバを使っている人が多いほど、あなたは群衆に紛れます(匿名集合が大きい)。
逆に、ほとんど誰も使っていない珍しいリゾルバに繋いでいると、「この回線でそのDNSを使っているのはこの人だけ」という形で少数派として浮き上がります(匿名集合が小さい)。
プライバシー志向の構成、たとえば「アンチスパイフォン端末+まだ利用者の少ない新興DNS」という組み合わせは、それ自体が珍しいため、観測者から見ると識別の手がかりになりやすい、という皮肉が生じます。
④ トラフィック解析
①〜③をすべて伏せても、③で触れた通り、暗号化トラフィックの「形」から訪問先が推定されるリスクは残ります。
これはDNSに限らず暗号化通信全般の課題で、完全な対策は容易ではありません。
4つのサービスを、この観点で見比べる
まず大前提として、4つは同じ土俵のものではありません。
- modDNS / NextDNS / AdGuard DNS … クエリを解決し、フィルタリングする「リゾルバ(サービス)」
- RethinkDNS … 自分自身はリゾルバを持たず、上流に好きなリゾルバを指定して使う「クライアント(+ファイアウォール)」
この違いを踏まえて、それぞれを「プライバシー強化」と「目立ちやすさ」の両面で整理します。
modDNS(IVPN)
VPN事業者IVPNが開発・運用する新しいフィルタリングDNSです。2026年3月にIVPN Proユーザー向けのベータとして公開されました。
- 強み:オープンソース(GPL-3.0)で、2025年にCure53の監査を受けている。DoH/DoT/DoQ対応。クエリログはデフォルト無効。登録後はmodDNS関連の識別子をIVPN本体のシステムから切り離し、アカウントとの関連付けを防ぐ設計
-
目立ちやすさ:プロファイルごとに一意の識別子を持つ(仕組み②)。さらに、ベータ段階で利用者がまだ少なく、サーバーも北米・欧州中心。匿名集合が小さい=接続先として目立ちやすい点は、現時点では留意が必要
NextDNS
カスタマイズ性で人気の公開DNSです(米国拠点)。
- 強み:ブロックリスト・カテゴリ・許可/拒否リストなどを細かく設定でき、ログの保持期間や保存地域も調整(無効化も)できる
-
目立ちやすさ:プロファイルIDがDoH URLに入る典型例(仕組み②)。一方で、プロファイルを使わない公開エンドポイント(
dns.nextdns.io)も用意されており、これはFirefoxやChromiumの選択肢にも含まれます。「カスタムプロファイルで使う=識別子あり」と「公開エンドポイントで使う=群衆に紛れやすい」は、プライバシー特性が別物だと理解しておくと選びやすくなります
AdGuard DNS
広告・トラッカーブロックで知られる公開リゾルバです。2020年に世界初の公開DoQリゾルバを始めた実績もあります。
- 強み:大きな利用者ベースを持つため、公開エンドポイントを使う限り匿名集合は大きく、群衆に紛れやすい(仕組み③の観点では有利)
-
留意点:サーバーのパフォーマンス集計(リクエスト数・ブロック数・処理速度など)や、新しいトラッカー特定のために直近24時間のリクエストドメインのデータベースを保持していると説明しています。完全な無ログではない点は把握しておきましょう
RethinkDNS
Android向けのオープンソースクライアントです。リゾルバの「選び方」ではなく「使い方」を司る道具だと考えてください。
- できること:DoH/DoT/DNSCrypt/DNSプロキシに対応し、DNS応答のキャッシュ、端末内でのローカルなクエリログ、アプリ単位のファイアウォールとして機能する
- Android上の制約:AndroidのVPNスロットを使うため、他のVPNとは基本的に排他になります(WireGuard構成を取り込む、OrbotをプロキシにするなどでVPN/Torとの併用は可能)
-
プライバシー観点:RethinkDNS自体は「どのリゾルバに繋ぐか」をあなたに委ねます。つまり匿名集合の大きさや識別子の有無は、あなたがRethink越しに選んだ上流リゾルバ次第です。道具としては強力ですが、「Rethinkを入れたから安全」ではなく「Rethinkで何に繋ぐか」が本質です
では、どう選べばいいのか(脅威モデル別)
「正解の一つ」はありません。誰から守りたいかで答えが変わります。
ケースA:ISPやWi-Fi運営者に見られたくない(最も一般的) 暗号化DNSは明確に有効です。
利用者の多い定番リゾルバ(公開エンドポイント)を選べば、匿名集合も大きく、目立ちにくくなります。広告・トラッカーのブロックも同時に得られます。
多くの人にとってはここで十分です。
ケースB:DNS事業者にも行動を集約させたくない
ログなしを明言し、できれば監査を受け、管轄の良いサービスを選ぶ。
プロファイルIDを使うカスタム型なら「便利さと引き換えに固定識別子を持つ」ことを理解した上で使う。
さらに踏み込むなら、ODoH(Oblivious DoH)のように「誰が(IP)」と「何を(クエリ)」を分離する仕組みや、Anonymized DNSCryptのようにリレーでIPを隠す方式が選択肢になります。
ケースC:ネットワーク上で「目立たない」こと自体が重要 これは最も難しいケースです。
珍しいリゾルバや特殊な構成はかえって浮き上がります。
この目的では、DNS単体をいじるより、VPNやTorで全トラフィックをトンネルし、DNSの接続先という指紋ごと出口に集約してしまうほうが筋が通ります。
DNS over Torは強力ですが速度を犠牲にします。
アンチスパイフォンユーザーであれば、標準のプライベートDNS(DoT)で手軽に暗号化する、RethinkDNSでアプリ単位の制御まで踏み込む、あるいはVPNと組み合わせる、と段階的に選べます。
どの段でも、「自分はいま誰から何を隠そうとしているのか」を一度言語化してから設定を決めるのが、遠回りに見えて確実です。
まとめ
- 暗号化・フィルタリングDNSは、経路上の観測者(ISP・Wi-Fi・中間者)に対しては、はっきりプライバシーを強める。広告・トラッカーのブロックという実利も大きい
- 一方で、匿名性は得られない。可視性がDNS事業者に集約され、プロファイルIDという固定識別子が生まれ、接続先や通信の「形」から識別される余地が残る
- 珍しいサービスや尖った構成は、少数派として「目立つ」こともある。匿名集合の大きさは、プライバシーを語るうえで見落とされがちだが重要な軸
- だから「DNSフィルタリングはプライバシーを強めるか、目立つか」は二択ではなく、両方が同時に成り立つ。決め手になるのは、機能の優劣よりも自分の脅威モデル
DNS設定は、入れれば安心になる魔法のスイッチではありません。
何から守りたいかを決めてから道具を選ぶ——その順番さえ守れば、暗号化DNSはとても頼りになる味方です。
