1.1.1.1 使ってますか? （えっ！なぜ使わなきゃいけないの？）

1.1.1.1 とは？

Cloudflareが運営している「パブリックDNSリゾルバー」です。APNIC （Asia Pacific Network Information Centre） という世界に五つある地域レジストリの一つとしてIPアドレス・AS番号の管理業務を行っている組織と共同研究もおこなわれています。

特徴は、「高速である」ことと「秘匿性がある（アクセスデータを広告業者に販売することはない）」ことです。

利用するメリット

•  セキュリティー面の懸念を解決
  • DNS問い合わせ内容は、情報漏洩のリスクがある。
  • ISPなどから提供されるDNSリゾルバーは、強力な暗号化をしているとは限らない。
  • ISPもDNS情報からユーザー行動を観測している可能性がある。
• パフォーマンス面の課題を解決
  • ISPなどのDNSリゾルバーは、低速である場合がある。
  • 使用量が多いと過負荷になる可能性がある。
  • さらに使用量が多いと停止する可能性がある。
  • 攻撃者がDDoS攻撃を仕掛ける可能性がある。

安全な理由

• ユーザーデータのマイニングを行っていない。
• ログはデバッグの目的でのみ24時間維持され、その後削除される。
• クエリ名の最小化（プライバシーの向上）など、他の多くのパブリックDNSサービスでは利用できないセキュリティ機能も提供する。

高速な理由

• CloudflareのCDNに統合されている。
• Cloudflareプラットフォーム上のDNS問い合わせを高速に処理できる
• DNSモニタリングの独立機関であるDNSPerfが「1.1.1.1は世界最速のDNSサービス」と位置付けている

"1.1.1.1 for Families"（家庭のための1.1.1.1）とは

子供たちのための1.1.1.1です。DNSブロッキング（不良サイトを自動的に除外する）に対応したバージョンです。いわゆる家庭向けのコンテンツフィルターのように動作するパブリックDNSリゾルバーなのです。「1.1.1.1 for Familiesのご紹介」で詳しく解説されています。上手に使い分けてください。

IPv4		IPv6		DNSブロッキング
Primary	Secondary	Primary	Secondary	マルウェア	アダルト
1.1.1.1	1.0.0.1	2606:4700:4700::1111	2606:4700:4700::1001	しない	しない
1.1.1.2	1.0.0.2	2606:4700:4700::1112	2606:4700:4700::1002	する	しない
1.1.1.3	1.0.0.3	2606:4700:4700::1113	2606:4700:4700::1003	する	する

1.1.1.1に関するCloudflareの説明

• • 1.1.1.1 とは何ですか？（英語）
  • 2018/04/01 DNSリゾルバー、1.1.1.1のご紹介（冗談ではなく）（英語）
  • 2020/04/01 1.1.1.1 for Familiesのご紹介 （英語）

パブリックDNSリゾルバーとは

パブリックDNSリゾルバーとは、インターネットを通じてだれでも自由に利用できるDNSサーバーです。誰でも、ドメイン名の名前決に利用できます（ドメイン名の問い合わせに対して回答が得られます）。

通常は、インターネット接続環境提供者から一緒に提供されるDNSサーバーに課題があるとき、代替手段としてパブリックDNS（パブリックDNSリゾルバー）が利用されます。

セキュリティーリスクの増大

DNSを使ったセキュリティーリスクが高まっています。

• オープンリゾルバーを悪用したDNSアンプ攻撃やDNSリフレクション攻撃
• フリーWi-Fiに仕込まれる可能性のある罠
  • DNSサーバーを詐称して悪意あるサーバーに誘導して、盗聴や不正利用が行われる可能性

以前は、オフィスや家庭など比較的安全が確保されていた環境（Border Security model/境界型セキュリティーモデル）で利用していたインターネットですが、スマートフォンやリモートワークが普及して、不特定の場所でインターネットを利用する（Zero Trust Security Model）機会が増えました。

社員（家族）を守り、インターネット全体の安全性を守る手段として、手軽に「DNSブロッキング」（マルウェア除外やアダルト除外）できる「パブリックDNSリゾルバー」が有効な選択肢の一つとして定着してきています。

• 「Zero Trust」というセキュリティーポリシーに準じて、安全性が担保されたDNSリゾルバーを使用する
  • 2010年、ジョン・キンダーバグ氏（PaloAlto Networks）が概念を提唱 (日経XTECHインタビュー)
• 安全性を重視して、利便性を損なってはいけないので、安全性と高速性を両立したパブリックDNSサーバーであることが望ましい。

どこで使うのが良いだろう？

DNSリゾルバーは、DNS解決を分散処理する仕組みにより、インターネットの安定性が確保されていました。セキュリティーリスクが顕在化したりして、パブリックDNSリゾルバーが登場しました。パブリックDNSリゾルバーを提供するため、新しい技術課題も解決されてきているのでしょう。

しかし、パブリックDNSリゾルバーは、万能とも言い切れません。DNSリゾルバー・DNSサーバーには、様々な目的・用途がありますので、想定される利用者や環境に合わせて、上手に使い分ける視点も十分に考慮しましょう。

目的・用途	採用するDNSリゾルバー・DNSサーバーの例
フリー Wi-Fi(公衆無線LAN)、リモートワーク スマートフォン PC ゲーム機	パブリックDNSリゾルバー
インターネット利用端末 スマートフォン PC ゲーム機	パブリックDNSリゾルバー プロバイダ指定DNSサーバー
インターネット接続用ネットワーク機器 ルーター UTM	インターネット接続・VPN接続に必要な情報が登録されている可能性 プロバイダ指定DNSサーバー
組織内のネットワーク端末 スマートフォン PC ルーター スイッチ 無線LANアクセスポイント UTM	組織内リソースの利便性のためにローカルDNSサーバーが運用されてる可能性 ローカルDNSサーバー DHCPで通知されるDNSサーバーをそのまま利用する 組織内リソースへのアクセスが不要ならパブリックDNSリゾルバー DHCPサーバーで通知するDNSサーバーとしてパブリックDNSリゾルバーを登録する
フィルタリング装置 ルーター UTM サーバー	DNS名でコンテンツフィルターをしている可能性 DNSフィルターやFQDNフィルター パブリックDNSリゾルバー

DNSPerfによる応答性能情報

• リンク先の「DNSPerf」より、「PUBLIC DNS RESOLVERS」タブを選択してください。

パブリックDNSサーバーには、どのようなものがあるの？

「DNSPerf」の「PUBLIC DNS RESOLVERS」タブで一覧されています。たとえば、次のようなものがあります。採用環境に適したものをご採用ください。

名称	機能など	Primary	Secondary
google public DNS	2009/12/3 サービス開始 2013/03/19 DNSSEC 2014           ESC DNS over HTTPS 2019/01      DNS over TLS	8.8.8.8	8.8.4.4
1.1.1.1 DNS one.one.one.one (cloudflare,APNIC)	2018/04/01 DoH、DoT、DNSSEC	1.1.1.1	1.0.0.1
	2020/04/01 + Secure (マルウェア除外)	1.1.1.2	1.0.0.3
	2020/04/01 + Secure (マルウェア除外、アダルト除外)	1.1.1.3	1.0.0.3
Cleaner DNS (Quad9)	Secure(マルウェア除外、DoH、DoT、DNSSEC)	9.9.9.9	149.112.112.112
	Unsecure + (DoH、DoT)	9.9.9.10	149.112.112.10
	Secure+ECS	9.9.9.11	149.112.112.11
Cisco Umbrella DNS (Open DNS)	家庭用は無償＆有償。 ビジネス用は有償。	208.67.222.222	208.67.220.220

• DoH ： DNS over HTTPS
• DoT ： DNS over TLS
• DNSSEC（DNSKEY）
• ECS ： ENDS Client Subnet （Pubulic DNSの最適なEdge選択を支援する仕組み）

日本DNSオペレーターズグループの関連話題

日本DNSオペレーターズグループにて、DNSに関わる課題が議論されています。

• DNS Summer Day 2019(SD2019)
  • DNSとプライバシー
• DNS Summer Day 2022(SD2022)
  • DNS セキュリティ機構の普及状況調査：現状と今後の課題
• DNS Summer Day 2023(SD2023)
  • IIJとDNSの30年

ドメインネームシステム(DNS)のオペレーションを通して社会基盤としてのインターネットの安定運用に寄与することを目的とし、「日本DNSオペレーターズグループ(DNSOPS.JP)」を設立します。 「日本DNSオペレーターズグループ　設立趣意書」より

オープンリゾルバー問題

Cloudflareは、なぜ「パブリックDNSリゾルバー」を提供することになったのでしょうか？

2013年3月18日頃に発生した「スパム対策組織Spamhaus」と「同組織を支援した米セキュリティ企業Cloudflare」に対する「史上最大のサイバー攻撃」を切っ掛けにオープンリゾルバー問題が顕在化しました。世界各地のオープンDNSサーバーが、DNSアンプ攻撃やDNSリフレクション攻撃に意図せず加担していました。

日本国内のインターネット技術者も活動を始め、オープンリゾルバー根絶に向けた活動を続けています。

• DNS Open Resolverについて考える  (高田 美紀、 2013/04/19)
  • 「オープンリゾルバ問題、立ちふさがるはデフォルト設定？」 (JANOG 31.5 Meeting, 2013/05/10)

このオープンリゾルバー問題に対して、「オープンリゾルバーの根絶」とは違う立場で、高速で安全な「パブリックDNSリゾルバー」をサービス運用して、インターネット全体を健全化に貢献しようとしているのだ思います。

そいういう心意気がAPNICを動かし共同研究がスタートされたのではないでしょうか。

また、「史上最大のサイバー攻撃」（The DDoS That Almost Broke the Internet）を経験してきたCloudflareが語る「DDoS Prevention: Protecting The Origin」は、生々しい最前線を感します。

各社のオープンリゾルバー問題への対応

• JPNIC
  • オープンリゾルバ(Open Resolver)に対する注意喚起 (2013/4/18) https://www.nic.ad.jp/ja/dns/openresolver/
  • オープンリゾルバとは  (2013/11/15) https://www.nic.ad.jp/ja/basics/terms/open-resolver.html
• JPRS
  • DNSサーバーの不適切な設定「オープンリゾルバー」について https://jprs.jp/whatsnew/topics/2013/130418.html
• JPCERT
  • DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130022.html
  • オープンリゾルバー確認サイト https://www.v3.openresolver.jp/
• IIJ
  • オープンリゾルバ根絶に向けての取り組み (2013/09/24) https://www.iij.ad.jp/dev/tech/activities/open_resolver/
  • 「昔IIJを使っていた人」にお願いです – オープンリゾルバ対策 https://techlog.iij.ad.jp/archives/718
•  ヤマハネットワーク機器の対応
  • オープンリゾルバー(Open Resolver)に対する注意喚起について (2013/9/19) http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/open-resolver.html
  • 家庭用ルーターとオープンリゾルバ―問題 (Internet Week 2013, 2013/11/28) https://www.nic.ad.jp/ja/materials/iw/2013/proceedings/d2/d2-hirose.pdf
• 古河電工
  • 簡易DNS機能がオープンリゾルバとして機能する問題 (2013/9/19) https://www.furukawa.co.jp/fitelnet/topic/vulnera_20130919.html
  • 簡易DNS機能のご利用に関する注意喚起 (2013/9/19) https://www.furukawa.co.jp/fitelnet/product/f100/technical/detail/tech26.html

Cloudflareの共同研究に関するAPNICの発表

「APNIC Labs enters into a Research Agreement with Cloudflare」 (2018/04/01)

以下、抜粋とGoogle翻訳の出力。

• パブリックDNSリゾルバーの意義

 We are aware that the DNS has been used to generate malicious denial of service attacks, and we are keen to understand if there are simple and widely deployable measures that can be taken to mitigate such attacks. The DNS relies on caching to operate efficiently and quickly, but we are still unsure as to how well caching actually performs. We are also unclear how much of the DNS is related to end user or application requirements for name resolution, and how much is related to the DNS chattering to itself. Are we constructing a DNS to meet the performance expectations of end users, or one that is sized to a completely different set of requirements? We are keen to investigate these and other related questions about the operation of the DNS.

 

私たちは、DNS が悪意のあるサービス拒否攻撃を生成するために使用されていることを認識しており、そのような攻撃を軽減するために講じることができる簡単で広く展開可能な対策があるかどうかを理解することに熱心です。DNS は効率的かつ迅速に動作するためにキャッシュに依存していますが、キャッシュが実際にどの程度うまく機能するかについてはまだ不明です。また、DNS のどの程度がエンド ユーザーまたはアプリケーションの名前解決要件に関連しているのか、また DNS のそれ自体へのチャタリングにどの程度が関連しているのかも不明です。エンドユーザーのパフォーマンスの期待を満たすために DNS を構築しているのでしょうか、それともまったく異なる一連の要件に合わせてサイズを調整した DNS を構築しているのでしょうか? 私たちは、DNS の運用に関するこれらの質問やその他の関連する質問を熱心に調査したいと考えています。

• 使用するIPアドレスのプレフィックス

APNIC will use two IPv4 address prefixes for this joint research program, 1.0.0.0/24 and 1.1.1.0/24.

APNIC は、この共同研究プログラムに 2 つの IPv4 アドレス プレフィックス、1.0.0.0/24 と 1.1.1.0/24 を使用します。

参考：コンテンツをブロッキングする方法

1. 検索エンジンからの除外
2. DNSブロッキング
3. IPブロッキング
4. URLブロッキング
5. DPIによるブロッキング

参考文献

• the Internet Society (ISOC):
  • Blocking Internet content: harmful or efficient?
  • Internet Shutdowns and Content Blocking not the answer, says Internet Society

メディア掲載記事から 1.1.1.1 （1⁴）関連情報をピックアップ

 

• 権利侵害を理由としたDNSブロッキングの話題
• DoH (DNS over HTTPS) ... ドメイン名やIPアドレスなどの問い合わせや応答を暗号化
• パブリックDNSサービス「1.1.1.1」
• CDNによる DDoS防御(効果)
• DDoS攻撃の仕組み（オープンリゾルバー問題）

Date	Articles	in one word	Reason for publication
2023.9.28	【日経XTECH】 そのトラブル、原因はDNS 「Windowsでネットにつながらない」「ファイアウオールに障害発生」 日経NETWORK 2023年10月号 P.40～P.47 https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091900175/091900001/	DNS障害の仕組みとDoH対策	パブリックDNSの「1.1.1.1」
2022.12.30	【ASCII】 年末恒例！今年のドメイン名ニュース 第15回 ウクライナ侵攻とドメイン名、.comの値上げ、権利侵害とDNSブロッキング https://ascii.jp/elem/000/004/119/4119331/	JPRSのドメイン名重要ニュースの3位に入った「権利侵害を理由としたDNSブロッキングに関する動き」	1.1.1.1のサービス提供者
2020.2.25	【ケータイ Watch】 このSSIDに要注意！　スマホでフリーWi-Fiを安全に使うための方法とは https://k-tai.watch.impress.co.jp/docs/review/1235254.html	セキュリティの理解を深めよう	1.1.1.1 や cloudfare WARP紹介
2019.4.2	【INTERNET Watch】 無料のVPNサービス「Warp」、パブリックDNS「1.1.1.1」アプリに追加、Cloudflareが4月中旬より提供 https://internet.watch.impress.co.jp/docs/news/1177792.html	Cloudflare　WARP 製品発表	製品紹介
2018.12.28	【INTERNET Watch】 2018年に最も読まれたニュースは「佐川急便を装うフィッシング」、攻撃に関する報告は減るどころか急増する勢い https://internet.watch.impress.co.jp/docs/special/1160721.html	2018年のニュース記事 ランキング	年間4位に1.1.1.1
2018.11.13	【INTERNET Watch】 これでネットも激速？　世界最速をうたう無料パブリックDNS「1.1.1.1」のスマホアプリが登場 https://internet.watch.impress.co.jp/docs/yajiuma/1152938.html	高速パブリックDNSサービス「1.1.1.1」	製品紹介
2018.6.22	【INTERNET Watch】 海賊版サイトをブロッキングするための5つの手法（その仕組みと限界および問題点） https://internet.watch.impress.co.jp/docs/special/1128898.html	海賊版サイト対策のInternet Society日本支部（ISOC-JP）による解説記事	パブリックDNSサービス「1.1.1.1」の活用
2018.4.19	【INTERNET Watch】 これからのネットづくりと海賊サイトへのブロッキング要請を考える 海賊版サイトのブロッキングはなぜ無理筋なのか？　反対派の市民団体やISP業界団体が緊急シンポジウム開催 https://internet.watch.impress.co.jp/docs/event/1117888.html	海賊版サイトのブロッキングに関するシンポジウム	CDNのひとつとして
2018.4.9	【INTERNET Watch】 IPアドレスを保存しない高速パブリックDNSサービス「1.1.1.1」の記事が1位 INTERNET Watchアクセスランキング［2018/4/2～2018/4/8］ https://internet.watch.impress.co.jp/docs/news/ranking/1115937.html	週刊アクセスランキング	「1.1.1.1」が1位
2018.4.9	【INTERNET Watch】 ドメイン名をメンションするとIPアドレスを返すTwitterアカウント「@1111Resolver」、Cloudflareが開始 https://internet.watch.impress.co.jp/docs/news/1116070.html	Twitterアカウント「@1111Resolver」	サービス紹介
2018.4.2	【INTERNET Watch】 IPアドレスを保存しない高速パブリックDNSサービス「1.1.1.1」、APNICとCloudflareが無料提供 https://internet.watch.impress.co.jp/docs/news/1114805.html	高速パブリックDNSサービス「1.1.1.1」※1.1.1.1はAPNICが管理	サービス紹介
2013.12.27	【INTERNET Watch】 2013年に最も読まれた記事は「史上最大のサイバー攻撃」 INTERNET Watch年間アクセスランキング https://internet.watch.impress.co.jp/docs/special/629240.html	2013年に最も読まれた記事	年間1位Cloudflareに対する市場最大規模のDDoS攻撃
2013.4.26	【INTERNET Watch】 過去最大300Gbps超のDDoS攻撃に悪用されたDNSの「オープンリゾルバー」とは 過去最大300Gbps超のDDoS攻撃に悪用されたDNSの「オープンリゾルバー」とは https://internet.watch.impress.co.jp/docs/interview/597628.html	JPRS森下氏による「Cloudflareに対する市場最大規模のDDoS攻撃」の解説	DDoS対象
2013.3.28	【INTERNET Watch】 ネットを崩壊の瀬戸際に追い込んだ「史上最大のサイバー攻撃」が明るみに ～早急な対策が望まれるオープンリゾルバーDNS問題 https://internet.watch.impress.co.jp/docs/news/593523.html	Cloudflareに対する市場最大規模のDDoS攻撃	DDoS対象

参考情報、出典

Cloudflare (English)

• What is 1.1.1.1?
• Cloudflare Docs
  • Cloudflare 1.1.1.1
• The Cloudflare Blog
  • 1.1.1.1
    • 2023/10/05 1.1.1.1 lookup failures on October 4th, 2023
    • 2023/02/28 How Rust and Wasm power Cloudflare's 1.1.1.13
    • 2022/12/22 Cloudflare Radar 2022 Year in Review
    • 2020/04/01 Introducing 1.1.1.1 for Families
    • 2020/03/31 Announcing the Results of the 1.1.1.1 Public DNS Resolver Privacy Examination
    • 2018/04/01 Introducing DNS Resolver, 1.1.1.1 (not a joke)
    • 2013/07/30 DDoS Prevention: Protecting The Origin
    • 2013/03/28 The DDoS That Almost Broke the Internet
    • 2013/03/21 The DDoS That Knocked Spamhaus Offline (And How We Mitigated It)

Cloudflare (日本語)

• 1.1.1.1 とは何ですか？
• The Cloudflare Blog
  • 1.1.1.1 (JP)
    • 2023/10/05 2023年10月4日の1.1.1.1ルックアップ障害
    • 2023/09/29 ポスト量子暗号が一般利用可能に
    • 2023/09/25 バースデーウィーク2023へようこそ
    • 2023/02/28 RustとWasmがCloudflareの1.1.1.1をどのようにパワーアップさせるか
    • 2022/04/12 2022年第1四半期におけるDDoS攻撃の傾向
    • 2023/03/13 最もフィッシング攻撃されやすいブランド上位50件と、フィッシングから社員を守るために使える新しいツール
    • 2021/12/21 2021年のインターネット：TikTok、宇宙、その他
    • 2020/04/02 1.1.1.3がLGBTQIA+サイトをブロックしたのは間違いだった
    • 2020/04/01 1.1.1.1 for Familiesのご紹介
    • 2020/03/31 1.1.1.1パブリックDNSリゾルバーのプライバシー審査を発表
    • 2018/04/01 DNSリゾルバー、1.1.1.1のご紹介（冗談ではなく）

そのほか

• • APNIC
    • 2018/04/01 APNIC Labs enters into a Research Agreement with Cloudflare

Cloudflare リンク集

Cloudflareに関するメディア掲載記事（Published in an IT magazine）

Cloudflare 報道発表資料（Published in PRTIMES）

Classmethod

• • 「Cloudflare」タグの記事一覧