3秒まとめ#

自宅で AdGuard Home を導入してみた
Brave ブラウザを使っていても、8％の広告やトラッカーの名前解決がブロックされている
DNSの名前解決による情報漏えいを防止できる
DoT (DNS-over-TLS)や DoQ (DNS-over-QUIC)にも対応していてセキュア
Tailscale と組み合わせて使うと、スマホや出先からも設定なしで対応できる

AdGuard Homeとは？#

AdGuard Home は、ネットワークレベルで広告やトラッカーをブロックできる DNS キャッシュサーバーです。Pi-Holeと同じ感じです。通常のブラウザの広告ブロック拡張機能とは異なり、ネットワーク全体で広告をブロックできるため、スマホアプリやスマート TV など、あらゆるデバイスの広告をブロックできます。

自宅のネットワークに設置することで、家のすべてのデバイスの広告をまとめてブロックできるというわけです。

DHCPで振られたDNSを利用する問題#

普段何気なく使っているインターネットですが、実は DNS の名前解決によってどこのホストに接続しているのかが第三者に漏洩してしまうという問題があります。

例えば、アクセスしようとしているホスト名に会社名や組織を識別する情報が含まれていると、あなたがどの会社のサービスを利用しているのか、どんなウェブサイトを見ているのかといった情報が筒抜けになってしまいます。具体的には、login.company-name.com のような URL にアクセスすると、あなたがその会社のサービスを利用していることが DNS キャッシュサーバーの運営者に知られてしまうんです。

参考資料: DNSとプライバシー

この問題を解決する方法として、ローカルで名前解決をするという方法があります。しかし、これにはデメリットもあります：

キャッシュ効率が悪くなる - 同じドメインの名前解決を多くのデバイスが個別に行うことになり、効率が悪い
リソースを消費する - 各デバイスで DNS 解決のためのリソースを使うことになる

そこで最適な解決策となるのが、信頼できる安全なホストで運用されているDNSキャッシュサーバーを利用することです。これにより、プライバシーを保ちながら効率的な名前解決が可能になります。

AdGuard Home はまさにこの役割を果たしてくれるツールなんです。自宅のネットワーク内で安全に DNS サーバーを運用できるため、プライバシーを守りながら広告ブロックの恩恵も受けられるというわけです。

この図のように、通常の DNS 解決では、あなたのアクセスしているホスト名が ISP や第三者に漏れる可能性があります。 AdGuard Home を使うことでプライバシーを保護しながら広告ドメインをブロックできます。

なぜAdGuard Homeを導入したのか#

私は Brave ブラウザを普段から使っています。Brave は標準で広告ブロック機能が搭載されているので、かなり快適にウェブブラウジングができるんですよね。

でも、「本当にすべての広告がブロックされているのかな？」という疑問がありました。そこで、ネットワークレベルでの広告ブロックを試してみようと思い、AdGuard Home を導入してみることにしました。

導入してみた結果#

AdGuard Home を導入して驚いたのは、Braveを使っているのに8％もの広告やトラッカーの名前解決がブロックされていたことです！

ダッシュボードを見ると、全体の DNS クエリ数が 327,076 件で、そのうち 27,573 件（約 8％）がブロックされています。これは Brave ブラウザを使っていても、まだ広告やトラッカーの一部が通過していることを示しています。

上位のDNSキャッシュサーバ (upstream)#

複数の upstream を設定し、ラウンドロビンでしばらく運用してみた結果です。各 DNS キャッシュサーバの応答時間が表示されるので取捨選択もしやすいです。

ちなみに、upstream を設定しない場合、AdGuard Home は自身で DNS クエリを Root Hints から辿って名前解決します。これは「フルリゾルバー」または「再帰 DNS サーバー」と呼ばれる動作です。

DNS blocklists#

AdGuard Home では、DNS ブロックリストを使って広告やトラッカーをブロックします。デフォルトでは上の 2 つのリストが有効になっていますが、わたしはいくつか追加してみました。

DNS blocklists

ブロックリストには様々な種類があり、広告専用、トラッカー専用、マルウェア対策など、目的に応じて選べます。リストを追加するほどブロック率は上がりますが、誤検知のリスクも高まるので、バランスが大事です。

追記: 自分でもトラッキングサービスの運用をしているので追加で登録したリストは幅が広すぎたため結局はデフォルトに登録されているリストと、uBlock のみを使うようになりました。

セキュリティ面の強化#

AdGuard Home は DoT (DNS-over-TLS)や DoQ (DNS-over-QUIC)に対応しているので、DNSクエリを暗号化できます。これにより、ISP や第三者からの DNS クエリの監視を防ぐことができます。

通常の DNS は平文で通信するため、どのサイトにアクセスしているか漏れる可能性があります。DoT や DoQ を使えばそのリスクを減らせるので、セキュリティを重視する方には嬉しい機能ですね。

TLS を利用するためにはサーバ証明書を取得する必要があるので追加でひと手間がかかります。

Tailscaleとの組み合わせ#

わたしは Tailscaleを使っています。Tailscaleを使うと、外出先からでもDNSの名前解決をVPN上で稼働しているAdGuardに投げることによってDNSのリゾルバを常時自分で動かしているホストに向けることができます。

Tailscale を導入しているクライアントホストでは、DNS キャッシュサーバーとして 100.100.100.100 という仮想ネットワークの仮想 IP アドレスが使われています。このアドレスは実際のネットワークには存在せず、Tailscale 内部で使われるものです。

Tailscaleのネームサーバー設定

Tailscale において、DNS キャッシュサーバーは 100.100.100.100 という仮想ネットワークの仮想 IP アドレスが使われていますが、実際には DNS キャッシュサーバーを指定できるオプションがあります。そのため、AdGuard が動いているサーバーの IP アドレスを指定できます。

これにより、スマホからも特別な設定なしでAdGuard Home を使った DNS フィルタリングが可能になりました。外出先でも VPN 経由で自宅の AdGuard Home を使えるので、広告ブロックの恩恵を受けられます。

まとめ#

AdGuard Home を導入してみて、Brave ブラウザを使っていても 8％もの広告やトラッカーがブロックされることがわかりました。ネットワークレベルでの広告ブロックは、ブラウザレベルの広告ブロックを補完する形で効果を発揮します。

また、Tailscale と組み合わせることで、外出先でも VPN 経由で広告ブロックの恩恵を受けられるのは大きなメリットです。

プライバシーやセキュリティを重視する方は、ぜひ AdGuard Home の導入を検討してみてください。設定は少し手間がかかりますが、一度設定してしまえば、家のすべてのデバイスで広告なしの快適なインターネット環境を実現できますよ！

AdGuard Homeを自宅に導入してBraveブラウザでも8%の広告をブロックした