DNSリークテスト:DNSリークの確認方法と修正方法
VPNは、別の国のクリーンなIPアドレスを表示しながら、実際にはアクセスしたすべてのサイトのリストをインターネットプロバイダに密かに送信している可能性があります。この抜け穴には「DNSリーク」という名前がついています。一見するとセキュリティが確保され、通信もプライベートに見えますが、ドメイン名をアドレスに変換するルックアップ処理が平文で外部に漏れ出しているのです。DNSリークが発生しているかどうかを知る唯一の方法は、簡単なDNSリークテストを実行することです。そして、初めてテストを実行する人のほとんどは、その結果に驚きます。
このガイドでは、DNSリークとは何か、約30秒でDNSリークをチェックする方法、リークの原因を修正する方法、そして仮想通貨を保有している場合にリスクが高まる理由について説明します。最後の部分は、他のほとんどのガイドでは説明されていない重要な点です。
DNSリークとは何か、そして何が漏洩するのか
ドメインネームシステム(DNS)は、インターネットの電話帳のようなものだと考えてください。ドメイン名を入力すると、デバイスが小さなDNSリクエストを送信し、DNSサーバーが対応するIPアドレスを返します。至ってシンプルです。情報漏洩は、この検索が本来進むべき経路から外れたときに発生します。暗号化されたVPNトンネルを通ってVPN自身のリゾルバに到達する代わりに、クエリがISPのDNSサーバーに、通常は平文で送信されてしまうのです。
映画のような意味で「盗まれる」ことはありません。漏洩するのはメタデータ、つまりアクセスしようとしたサイトの順序付きリストで、実際のIPアドレスに紐付けられています。これだけで十分です。このようにDNSを使用すると、ISPは、あなたが火曜日の11時47分に特定の取引所、ウォレットサービス、またはニュースページを開いたことを知るために、実際のトラフィックの1バイトも読み取る必要がありません。ウェブサイトにアクセスするたびに、ルックアップはどこかで解決される必要があり、問題はそのどこかにあります。不快なのは、漏洩がまれな不具合というよりも、ウェブのデフォルト設定に近いということです。Cloudflare Radarによると、2026年2月現在、世界中のDNSクエリの約86.6%は、依然として暗号化されていないプレーンなUDPとしてネットワークを通過しています。暗号化されたDNSは例外であり、規則ではありません。
DNSリークが発生する仕組み:IPv6、WebRTC、ルーター
ほとんどの情報漏洩は巧妙な攻撃によるものではありません。それらは、VPNが完全に上書きできなかった通常のオペレーティングシステムの動作です。テスト失敗の大部分は、以下の3つの原因によるものです。
IPv6とVPNが忘れていた情報漏洩
これは、DNSリークの隠れた王者です。多くのVPNはIPv4をトンネル化し、IPv6は他人の問題として扱うように構築されています。そのため、オペレーティングシステムでIPv6が有効になっていて、VPNがIPv4しか取得しない場合、IPv6 DNSクエリはトンネルからそのまま出てしまいます。これは仮説上の話ではありません。ACM IMCのChoとHeidemannによる2025年の査読済み研究では、12の商用VPNがIPv4のみを使用するユーザーの5%から57%の間でIPv6トラフィックをリークしていることが、 IMC 2025論文で明らかになりました。何年も「IPv6リーク保護」がシステムに搭載されていても、リークはデータの中にまだ残っています。
ISPによる透明なDNSハイジャック
一部のISPは、設定したサーバーに関係なく、ポート53でネットワークから送信されるすべてのDNSリクエストを傍受し、独自のDNSリゾルバを経由させます。これは透過的なDNSハイジャックです。リークテストを実行すると、別のリゾルバを設定したにもかかわらず、ISPのリゾルバが応答していることがわかります。Windowsは、特に2つの方法でこの問題を悪化させます。1つは、すべてのネットワークアダプタから一度にDNSクエリをばらまくスマートマルチホーム名前解決(SMHNR)で、もう1つは、VPNを迂回する2つ目のパスを密かに開くIPv6トンネリングサービスであるTeredoです。
ブラウザとWebRTCのリーク
WebRTCは、リアルタイムの音声通話やビデオ通話を実現するブラウザ機能です。便利ですが、DNSを完全にスキップして直接接続要求を行うことで、ローカルIPアドレスとパブリックIPアドレスを公開してしまう可能性もあります。厳密に言えば、これはDNSリークではありません。しかし、優れたDNSリークテストでは、結果が同じであるため、必ずチェックします。つまり、実際のアドレスが表示されてしまうのです。この根本的な問題はどれほど蔓延しているのでしょうか?2016年にCSIROとマッコーリー大学が行った、283個のAndroid VPNアプリを対象とした古いものの、今でも引用されている調査では、66%がDNSトラフィックをリークし、84%がIPv6をトンネル経由でルーティングしていないことが判明しました。この調査結果は、 ACM IMC 2016の議事録に記載されています。それから9年経った今でも、これらの数字を覆すものはありません。
無料のDNSリークテストを実行して結果を読み取る方法
テストを実行するのは簡単です。つまずくのは、その結果を読むことです。VPNに接続し、ブラウザで無料のDNSリークテストページを開き、標準チェックと拡張チェックの両方を実行してください。数秒後には、応答したDNSリゾルバのリストが表示され、それぞれに所有者と場所が関連付けられています。ここで重要なのは、これらのリゾルバがVPNのものなのか、それともISPやGoogleのものなのか、ということです。
2回実行してください。1回目はVPNをオフにして、ISPのリゾルバがどのように動作するかを確認し、2回目はトンネルを有効にしてDNSリークテストを実行します。両方の実行で同じISPサーバーが表示された場合は、それが明らかなリークです。VPN接続時のみリゾルバが表示される場合は、少なくとも次回の再起動で問題が発生するまでは、DNSリークは発生していません。
| 検査結果が示すもの | 評決 | 何をするか |
|---|---|---|
| VPNのDNSサーバーのみ | 漏れなし | 問題ありません。アップデート後に再度テストしてください。 |
| お使いのISPのリゾルバが表示されます | DNSリーク | トンネルを信頼する前に、以下の原因を修正してください。 |
| Googleまたはあなたが設定していないサードパーティのリゾルバ | 部分的な漏れ | DNSを手動で設定し、ルーターの設定を確認してください。 |
| IPv6サーバーはIPv4サーバーとは異なる | IPv6リーク | IPv6を無効にするか、IPv6をトンネルするVPNを使用してください。 |
| WebRTCフィールドに実際のIPアドレスが表示されます | WebRTCの情報漏洩 | ブラウザでWebRTCを無効にする |
DNSリークが暗号通貨のプライバシーにとって重要な理由
VPNレビューサイトが見落としている点がここにある。暗号通貨ユーザーにとって、DNSリークは一般ユーザーよりも深刻な問題だ。なぜなら、オンチェーン監視だけでは突破できない唯一のギャップ、つまりネットワークIDとウォレット間のリンクを、DNSリークが埋めてしまうからだ。
IPアドレスをウォレットにリンクする
ブロックチェーン分析企業は、アドレスのクラスタリングや資金の流れの追跡に非常に長けています。しかし、オフチェーンの手がかりなしに、アドレスに実在の人物を結びつけることは容易ではありません。DNSリークはまさにその手がかりとなります。デバイスがウォレットドメイン、ブロックエクスプローラサイト、またはノードRPCエンドポイントへのルックアップを漏洩し、それらのクエリにタイムスタンプ付きの実際のIPアドレスが含まれている場合、監視者はネットワークの痕跡を、同時刻に発生しているオンチェーンのアクティビティと関連付けることができます。
取引所のログイン情報とKYCの相関関係
これが最も鋭いエッジです。中央集権型取引所にログインすると、デバイスはその取引所のドメインを検索します。検索がISPに漏洩すると、実際のIPアドレスに記録されます。取引所はすでにKYCを通じてあなたの本人確認済みIDを保持しています。今や第三者が、VPNが隠蔽するはずだったセッションにそのIDを関連付けることができます。このような相関関係を購入および処理するブロックチェーン分析業界は、2025年には29億9000万ドルの価値があり、年間22%の成長が見込まれています。一方、Chainalysisは2026 Crypto Crime Reportで、2025年の違法な仮想通貨取引量を1540億ドルと算出しており、あらゆる利用可能な点を結びつける強いインセンティブのある市場となっています。
DNSの軌跡からわかること
トラフィックの内容がなくても、解決したドメインの順序付きリストは行動の指紋です。どの取引所、どのウォレット、どのDeFiフロントエンド、どのような順序で、何時に。米国の規制当局はこのデータへの需要を確認しています。2021年のFTCスタッフレポートでは、ISPデータ収集に関するスタッフレポートで、米国の主要ISP6社すべてがDNSクエリと閲覧データをログに記録していることが判明しました。公平を期すために、DNSリークのみを理由に仮想通貨の匿名解除を立証した公の裁判はまだありません。その機能は十分に文書化されていますが、決定的な証拠となる訴追は行われていません。それが今後も続くとは期待しない方が良いでしょう。
あらゆるデバイスでDNSリークを防ぐ方法
朗報です。解決策は簡単なメニューで、マラソンではありません。不安に駆られて6つすべてを試してみるのではなく、テスト結果に基づいてレバーを合わせてください。実際には、ほとんどの人は2つ、多くても3つで済みます。
WindowsとmacOSにおけるDNSリークを修正する
Windows では、原因としてよく挙げられるのは Smart Multi-Homed Name Resolution と Teredo アダプタです。これら両方を終了させてください。次に、アクティブなネットワークアダプタに静的 DNS サーバーを固定します。macOS では、より簡単な方法があります。ネットワーク設定で DNS を手動で設定し、`sudo dscacheutil -flushcache` でキャッシュをクリアします。いずれの場合も、再接続して DNS リーク テストをもう一度実行してください。リゾルバ リストに VPN のみが表示されれば完了です。古い ISP サーバーがまだ残っている場合は、スタックの下位のどこかからリークが発生しています。
ルーターとIPv6をロックダウンする
VPNがIPv6トンネルに対応していない場合は、オペレーティングシステムレベルでIPv6を無効にしてください。そうすれば、クエリが接続できる別の経路がなくなります。ルーターの設定も忘れないでください。ルーター自体がISPのDNSサーバーを指している場合、情報漏洩は単に1ホップ上流に移動するだけで、デバイスレベルでの対策では実際の状況が隠蔽されてしまいます。信頼できるリゾルバを使用するようにルーターを設定すれば、そのルーターに接続されているすべてのスマートフォン、ノートパソコン、ゲーム機がその設定を自動的に継承します。
VPN設定とDNSリーク保護
VPNクライアントを開き、3つのスイッチを確認してください。独自のDNSサーバーを使用しているか、DNSリーク保護が有効になっているか、キルスイッチが有効になっているかです。最後の2つは同じ機能ではないため、多くの人が混乱します。キルスイッチは、暗号化されたトンネルが切断された瞬間にトラフィックを完全に遮断します。DNSリーク保護は、トンネルがまだ稼働している間、クエリをそのトンネル経由で強制的に送信します。どちらも有効にしておく必要があります。「デフォルトで安全」というのはマーケティング用語であって、約束ではないので、実際にこれらの設定を確認しておくことが重要です。
| 原因 | テストで目にするもの | 修理 | どこ |
|---|---|---|---|
| IPv6リーク | IPv6リゾルバはIPv4とは異なります | IPv6を無効にするか、VPNを切り替える | OS / VPN |
| ISPハイジャック | ISPリゾルバは手動DNSにもかかわらず | 暗号化されたDNS(DoHまたはDoT)を設定する | OS / ルーター |
| Windows SMHNRまたはTeredo | 複数のリゾルバがあり、そのうちの1つはISPです。 | SMHNRとTeredoを無効にする | Windows |
| ISPのDNSを使用するルーター | どのデバイスでも同じ漏水が発生しています | ルーターのDNSを手動で設定する | ルーター |
| WebRTCの露出 | WebRTC分野におけるリアルIP | WebRTCを無効にする | ブラウザ |
情報漏洩しないDNSサーバーを選択する
DNSリークテストに合格することは、成功の半分に過ぎません。リゾルバの向きはトンネルと同じくらい重要です。なぜなら、ログを記録するDNSプロバイダーは、ロゴが親しみやすいだけで、監視行為に他ならないからです。Cloudflareは1.1.1.1、Quad9は9.9.9.9、Googleは8.8.8.8を使用しています。同じ役割を担っていますが、ログ記録ポリシーは大きく異なります。ですから、必ず確認してください。フォーラムの投稿で推奨されているものをそのまま使用すると、「リークなし」に見えても、実際には追跡されているという事態に陥ります。
次に、ルックアップ自体を暗号化します。DNS over HTTPS (DoH) と DNS over TLS (DoT) はどちらもクエリをラップするため、ISP がクエリを読み取ったり、通信途中で傍受したりすることはできません。しかし、ほとんどの人はそこまで気にしていません。暗号化されたトランスポートは、2026 初期の DNS クエリの約 11.3% しか処理しておらず、エンドツーエンドの DNSSEC 検証は、第 1 四半期で丸め誤差の 0.47% でした。設定は 1 つだけです。これを切り替えれば、あなたはひっそりと、はるかに優れた防御を備えた少数派に加わることになります。
あなたのVPNは本当にDNSリークを防いでくれますか?
「DNS リーク保護」チェックボックスは保証ではなく、あくまで主張として扱ってください。2016 年のベンチマークリーク率は、2025 年の最新の調査でも引き続き現れており、これは問題が業界がひっそりと解決したものではなく、これらのクライアントの構築方法に組み込まれていることを示しています。VPN の使用は一般的ですが、それでも普遍的ではありません。Security.org によると、2025 年に米国成人の 32% が VPN を使用していると回答しており、前年の 46% から大幅に減少しています。したがって、このルールは退屈ですが、効果があります。VPN をインストールした日に DNS リーク テストを実行し、主要な OS アップデートのたびに再度実行し、クライアントが午前 3 時にあなたが見ていない間に自動的に再接続したときにも実行してください。
DNSリークテストについて、今すぐ何をすべきか
DNS を漏洩する VPN は、あなたの目の前で嘘をつくプライバシー ツールです。その嘘を見抜く唯一の方法は、実際に確認することです。ですから、確認してください。VPN をオフにした場合とオンにした場合の両方で、今すぐテストを 2 回実行してください。実際に発生した原因を修正し、ポリシーをきちんと読んだ暗号化されたリゾルバにデバイスを向け、次のアップデート後に再テストしてください。暗号通貨を保有している場合は、DNS パスを脅威モデルの一部として扱い、後回しにしないでください。なぜなら、ここでは漏洩は閲覧履歴だけでなく、リンクされた ID で測定されるからです。じっくり考えておくべき質問が 1 つあります。もしあなたの設定がずっと漏洩していたとしたら、ISP はすでに何を記録しているでしょうか?
