1.1.1.1 使ってますか? （えっ！なぜ使わなきゃいけないの？）

1.1.1.1 とは？

Cloudflareが運営している「パブリックDNSリゾルバー」です。APNIC （Asia Pacific Network Information Centre） という世界に五つある地域レジストリの一つとしてIPアドレス・AS番号の管理業務を行っている組織と共同研究もおこなわれています。

特徴は、「高速である」ことと「秘匿性がある（アクセスデータを広告業者に販売することはない）」ことです。

利用するメリット

•  セキュリティー面の懸念を解決
  • DNS問い合わせ内容は、情報漏洩のリスクがある。
  • ISPなどから提供されるDNSリゾルバーは、強力な暗号化をしているとは限らない。
  • ISPもDNS情報からユーザー行動を観測している可能性がある。
• パフォーマンス面の課題を解決
  • ISPなどのDNSリゾルバーは、低速である場合がある。
  • 使用量が多いと過負荷になる可能性がある。
  • さらに使用量が多いと停止する可能性がある。
  • 攻撃者がDDoS攻撃を仕掛ける可能性がある。

安全な理由

• ユーザーデータのマイニングを行っていない。
• ログはデバッグの目的でのみ24時間維持され、その後削除される。
• クエリ名の最小化（プライバシーの向上）など、他の多くのパブリックDNSサービスでは利用できないセキュリティ機能も提供する。

高速な理由

• CloudflareのCDNに統合されている。
• Cloudflareプラットフォーム上のDNS問い合わせを高速に処理できる
• DNSモニタリングの独立機関であるDNSPerfが「1.1.1.1は世界最速のDNSサービス」と位置付けている

"1.1.1.1 for Families"（家庭のための1.1.1.1）とは

子供たちのための1.1.1.1です。DNSブロッキング（不良サイトを自動的に除外する）に対応したバージョンです。いわゆる家庭向けのコンテンツフィルターのように動作するパブリックDNSリゾルバーなのです。「1.1.1.1 for Familiesのご紹介」で詳しく解説されています。上手に使い分けてください。

1.1.1.1に関するCloudflareの説明

• • 1.1.1.1 とは何ですか？（英語）
  • 2018/04/01 DNSリゾルバー、1.1.1.1のご紹介（冗談ではなく）（英語）
  • 2020/04/01 1.1.1.1 for Familiesのご紹介 （英語）

パブリックDNSリゾルバーとは

パブリックDNSリゾルバーとは、インターネットを通じてだれでも自由に利用できるDNSサーバーです。誰でも、ドメイン名の名前決に利用できます（ドメイン名の問い合わせに対して回答が得られます）。

通常は、インターネット接続環境提供者から一緒に提供されるDNSサーバーに課題があるとき、代替手段としてパブリックDNS（パブリックDNSリゾルバー）が利用されます。

セキュリティーリスクの増大

DNSを使ったセキュリティーリスクが高まっています。

• オープンリゾルバーを悪用したDNSアンプ攻撃やDNSリフレクション攻撃
• フリーWi-Fiに仕込まれる可能性のある罠
  • DNSサーバーを詐称して悪意あるサーバーに誘導して、盗聴や不正利用が行われる可能性

以前は、オフィスや家庭など比較的安全が確保されていた環境（Border Security model/境界型セキュリティーモデル）で利用していたインターネットですが、スマートフォンやリモートワークが普及して、不特定の場所でインターネットを利用する（Zero Trust Security Model）機会が増えました。

社員（家族）を守り、インターネット全体の安全性を守る手段として、手軽に「DNSブロッキング」（マルウェア除外やアダルト除外）できる「パブリックDNSリゾルバー」が有効な選択肢の一つとして定着してきています。

• 「Zero Trust」というセキュリティーポリシーに準じて、安全性が担保されたDNSリゾルバーを使用する
  • 2010年、ジョン・キンダーバグ氏（PaloAlto Networks）が概念を提唱 (日経XTECHインタビュー)
• 安全性を重視して、利便性を損なってはいけないので、安全性と高速性を両立したパブリックDNSサーバーであることが望ましい。

どこで使うのが良いだろう？

DNSリゾルバーは、DNS解決を分散処理する仕組みにより、インターネットの安定性が確保されていました。セキュリティーリスクが顕在化したりして、パブリックDNSリゾルバーが登場しました。パブリックDNSリゾルバーを提供するため、新しい技術課題も解決されてきているのでしょう。

しかし、パブリックDNSリゾルバーは、万能とも言い切れません。DNSリゾルバー・DNSサーバーには、様々な目的・用途がありますので、想定される利用者や環境に合わせて、上手に使い分ける視点も十分に考慮しましょう。

DNSPerfによる応答性能情報

• リンク先の「DNSPerf」より、「PUBLIC DNS RESOLVERS」タブを選択してください。

パブリックDNSサーバーには、どのようなものがあるの？

「DNSPerf」の「PUBLIC DNS RESOLVERS」タブで一覧されています。たとえば、次のようなものがあります。採用環境に適したものをご採用ください。

• DoH ： DNS over HTTPS
• DoT ： DNS over TLS
• DNSSEC（DNSKEY）
• ECS ： ENDS Client Subnet （Pubulic DNSの最適なEdge選択を支援する仕組み）

日本DNSオペレーターズグループの関連話題

日本DNSオペレーターズグループにて、DNSに関わる課題が議論されています。

• DNS Summer Day 2019(SD2019)
  • DNSとプライバシー
• DNS Summer Day 2022(SD2022)
  • DNS セキュリティ機構の普及状況調査：現状と今後の課題
• DNS Summer Day 2023(SD2023)
  • IIJとDNSの30年

ドメインネームシステム(DNS)のオペレーションを通して社会基盤としてのインターネットの安定運用に寄与することを目的とし、「日本DNSオペレーターズグループ(DNSOPS.JP)」を設立します。 「日本DNSオペレーターズグループ　設立趣意書」より

オープンリゾルバー問題

Cloudflareは、なぜ「パブリックDNSリゾルバー」を提供することになったのでしょうか？

2013年3月18日頃に発生した「スパム対策組織Spamhaus」と「同組織を支援した米セキュリティ企業Cloudflare」に対する「史上最大のサイバー攻撃」を切っ掛けにオープンリゾルバー問題が顕在化しました。世界各地のオープンDNSサーバーが、DNSアンプ攻撃やDNSリフレクション攻撃に意図せず加担していました。

日本国内のインターネット技術者も活動を始め、オープンリゾルバー根絶に向けた活動を続けています。

• DNS Open Resolverについて考える  (高田 美紀、 2013/04/19)
  • 「オープンリゾルバ問題、立ちふさがるはデフォルト設定？」 (JANOG 31.5 Meeting, 2013/05/10)

このオープンリゾルバー問題に対して、「オープンリゾルバーの根絶」とは違う立場で、高速で安全な「パブリックDNSリゾルバー」をサービス運用して、インターネット全体を健全化に貢献しようとしているのだ思います。

そいういう心意気がAPNICを動かし共同研究がスタートされたのではないでしょうか。

また、「史上最大のサイバー攻撃」（The DDoS That Almost Broke the Internet）を経験してきたCloudflareが語る「DDoS Prevention: Protecting The Origin」は、生々しい最前線を感します。

各社のオープンリゾルバー問題への対応

• JPNIC
  • オープンリゾルバ(Open Resolver)に対する注意喚起 (2013/4/18) https://www.nic.ad.jp/ja/dns/openresolver/
  • オープンリゾルバとは  (2013/11/15) https://www.nic.ad.jp/ja/basics/terms/open-resolver.html
• JPRS
  • DNSサーバーの不適切な設定「オープンリゾルバー」について https://jprs.jp/whatsnew/topics/2013/130418.html
• JPCERT
  • DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130022.html
  • オープンリゾルバー確認サイト https://www.v3.openresolver.jp/
• IIJ
  • オープンリゾルバ根絶に向けての取り組み (2013/09/24) https://www.iij.ad.jp/dev/tech/activities/open_resolver/
  • 「昔IIJを使っていた人」にお願いです – オープンリゾルバ対策 https://techlog.iij.ad.jp/archives/718
•  ヤマハネットワーク機器の対応
  • オープンリゾルバー(Open Resolver)に対する注意喚起について (2013/9/19) http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/open-resolver.html
  • 家庭用ルーターとオープンリゾルバ―問題 (Internet Week 2013, 2013/11/28) https://www.nic.ad.jp/ja/materials/iw/2013/proceedings/d2/d2-hirose.pdf
• 古河電工
  • 簡易DNS機能がオープンリゾルバとして機能する問題 (2013/9/19) https://www.furukawa.co.jp/fitelnet/topic/vulnera_20130919.html
  • 簡易DNS機能のご利用に関する注意喚起 (2013/9/19) https://www.furukawa.co.jp/fitelnet/product/f100/technical/detail/tech26.html

Cloudflareの共同研究に関するAPNICの発表

「APNIC Labs enters into a Research Agreement with Cloudflare」 (2018/04/01)

以下、抜粋とGoogle翻訳の出力。

• パブリックDNSリゾルバーの意義

 We are aware that the DNS has been used to generate malicious denial of service attacks, and we are keen to understand if there are simple and widely deployable measures that can be taken to mitigate such attacks. The DNS relies on caching to operate efficiently and quickly, but we are still unsure as to how well caching actually performs. We are also unclear how much of the DNS is related to end user or application requirements for name resolution, and how much is related to the DNS chattering to itself. Are we constructing a DNS to meet the performance expectations of end users, or one that is sized to a completely different set of requirements? We are keen to investigate these and other related questions about the operation of the DNS.

 

私たちは、DNS が悪意のあるサービス拒否攻撃を生成するために使用されていることを認識しており、そのような攻撃を軽減するために講じることができる簡単で広く展開可能な対策があるかどうかを理解することに熱心です。DNS は効率的かつ迅速に動作するためにキャッシュに依存していますが、キャッシュが実際にどの程度うまく機能するかについてはまだ不明です。また、DNS のどの程度がエンド ユーザーまたはアプリケーションの名前解決要件に関連しているのか、また DNS のそれ自体へのチャタリングにどの程度が関連しているのかも不明です。エンドユーザーのパフォーマンスの期待を満たすために DNS を構築しているのでしょうか、それともまったく異なる一連の要件に合わせてサイズを調整した DNS を構築しているのでしょうか? 私たちは、DNS の運用に関するこれらの質問やその他の関連する質問を熱心に調査したいと考えています。

• 使用するIPアドレスのプレフィックス

APNIC will use two IPv4 address prefixes for this joint research program, 1.0.0.0/24 and 1.1.1.0/24.

APNIC は、この共同研究プログラムに 2 つの IPv4 アドレス プレフィックス、1.0.0.0/24 と 1.1.1.0/24 を使用します。

参考：コンテンツをブロッキングする方法

1. 検索エンジンからの除外
2. DNSブロッキング
3. IPブロッキング
4. URLブロッキング
5. DPIによるブロッキング

参考文献

• the Internet Society (ISOC):
  • Blocking Internet content: harmful or efficient?
  • Internet Shutdowns and Content Blocking not the answer, says Internet Society

メディア掲載記事から 1.1.1.1 （1⁴）関連情報をピックアップ

• 権利侵害を理由としたDNSブロッキングの話題
• DoH (DNS over HTTPS) ... ドメイン名やIPアドレスなどの問い合わせや応答を暗号化
• パブリックDNSサービス「1.1.1.1」
• CDNによる DDoS防御(効果)
• DDoS攻撃の仕組み（オープンリゾルバー問題）

参考情報、出典

Cloudflare (English)

• What is 1.1.1.1?
• Cloudflare Docs
  • Cloudflare 1.1.1.1
• The Cloudflare Blog
  • 1.1.1.1
    • 2023/10/05 1.1.1.1 lookup failures on October 4th, 2023
    • 2023/02/28 How Rust and Wasm power Cloudflare's 1.1.1.13
    • 2022/12/22 Cloudflare Radar 2022 Year in Review
    • 2020/04/01 Introducing 1.1.1.1 for Families
    • 2020/03/31 Announcing the Results of the 1.1.1.1 Public DNS Resolver Privacy Examination
    • 2018/04/01 Introducing DNS Resolver, 1.1.1.1 (not a joke)
    • 2013/07/30 DDoS Prevention: Protecting The Origin
    • 2013/03/28 The DDoS That Almost Broke the Internet
    • 2013/03/21 The DDoS That Knocked Spamhaus Offline (And How We Mitigated It)

Cloudflare (日本語)

• 1.1.1.1 とは何ですか？
• The Cloudflare Blog
  • 1.1.1.1 (JP)
    • 2023/10/05 2023年10月4日の1.1.1.1ルックアップ障害
    • 2023/09/29 ポスト量子暗号が一般利用可能に
    • 2023/09/25 バースデーウィーク2023へようこそ
    • 2023/02/28 RustとWasmがCloudflareの1.1.1.1をどのようにパワーアップさせるか
    • 2022/04/12 2022年第1四半期におけるDDoS攻撃の傾向
    • 2023/03/13 最もフィッシング攻撃されやすいブランド上位50件と、フィッシングから社員を守るために使える新しいツール
    • 2021/12/21 2021年のインターネット：TikTok、宇宙、その他
    • 2020/04/02 1.1.1.3がLGBTQIA+サイトをブロックしたのは間違いだった
    • 2020/04/01 1.1.1.1 for Familiesのご紹介
    • 2020/03/31 1.1.1.1パブリックDNSリゾルバーのプライバシー審査を発表
    • 2018/04/01 DNSリゾルバー、1.1.1.1のご紹介（冗談ではなく）

そのほか

• • APNIC
    • 2018/04/01 APNIC Labs enters into a Research Agreement with Cloudflare

Cloudflare リンク集

Cloudflareに関するメディア掲載記事（Published in an IT magazine）

Cloudflare 報道発表資料（Published in PRTIMES）

Classmethod

• • 「Cloudflare」タグの記事一覧