Overview
DNS攻撃(DNS Attack)とは、インターネットの名前解決システムであるDNS(Domain Name System)の仕組みや脆弱性を悪用するサイバー攻撃の総称です。DNSはドメイン名をIPアドレスに変換する「インターネットの電話帳」とも呼ばれる重要な基盤技術であり、その信頼性を損なうことで甚大な影響を及ぼします。
DNSキャッシュポイズニングは、DNSサーバーのキャッシュに偽のレコードを注入し、ユーザーを不正なサイトに誘導する攻撃です。DNSハイジャックは、ドメインのDNS設定を不正に変更してトラフィックを攻撃者の管理するサーバーに転送します。DNSトンネリングは、DNSプロトコルを悪用してファイアウォールを迂回し、データの窃取やC2(コマンド&コントロール)通信を行う手法です。
DNSは1983年に設計された古いプロトコルであり、当初はセキュリティが考慮されていませんでした。そのため、通信の暗号化や認証の仕組みが欠如しており、様々な攻撃に対して脆弱です。現在ではDNSSEC、DoH(DNS over HTTPS)、DoT(DNS over TLS)などの保護技術が開発されていますが、完全な普及には至っていません。
Details
DNSキャッシュポイズニング
DNSキャッシュポイズニング(DNS Cache Poisoning)は、DNSリゾルバのキャッシュに偽のDNSレコードを挿入する攻撃です。攻撃者は正規のDNSサーバーよりも先に偽の応答を返すことで、ユーザーが正しいドメイン名を入力しても攻撃者のサーバーに誘導されます。フィッシングサイトへの誘導やマルウェア配布に悪用され、ユーザー側では異常に気づきにくいのが特徴です。
DNSハイジャック
DNSハイジャックは、ドメインのDNS設定を不正に変更し、正規サイトへのトラフィックを攻撃者の管理するサーバーにリダイレクトする攻撃です。レジストラアカウントの乗っ取り、DNSサーバーの侵害、またはマルウェアによるローカルDNS設定の改ざんなど、複数の手法が存在します。国家支援型の攻撃グループが使用するケースも増えています。
DNSリバインディング
DNSリバインディングは、DNSレスポンスのTTL(Time to Live)を操作し、ブラウザの同一オリジンポリシーを回避する攻撃です。攻撃者はまず自分のドメインのDNSレコードを正規のIPアドレスに設定し、短いTTLの後にターゲットの内部IPアドレスに変更します。これにより、攻撃者のWebページから被害者のローカルネットワーク上のデバイスやサービスにアクセスできるようになります。
DNSトンネリング
DNSトンネリングは、DNSクエリとレスポンスの中にデータを埋め込み、ファイアウォールやネットワーク監視を回避して通信を行う技術です。DNSトラフィックは多くの環境で許可されているため、マルウェアのC2通信やデータの持ち出しに悪用されます。ツールとしてはiodine、dnscat2、dns2tcpなどが知られています。
DNS増幅攻撃(DDoS)
DNS増幅攻撃は、オープンリゾルバを悪用したDDoS攻撃の一種です。攻撃者は送信元IPアドレスを標的のIPに偽装(IPスプーフィング)したDNSクエリを、多数のオープンリゾルバに送信します。DNSレスポンスはクエリよりもはるかに大きいため(増幅率は最大70倍)、標的には大量のトラフィックが集中し、サービス停止に追い込まれます。
DNSSEC・DoH・DoTによる防御
- DNSSEC(DNS Security Extensions):DNSレスポンスにデジタル署名を付加し、レコードの真正性と完全性を検証する仕組み。キャッシュポイズニング対策として有効
- DoH(DNS over HTTPS):DNS通信をHTTPS経由で暗号化。盗聴や中間者攻撃からDNSクエリを保護する。主要ブラウザが対応
- DoT(DNS over TLS):DNS通信をTLSで暗号化。DoHと同様の保護を提供するが、専用ポート(853番)を使用するため、ネットワーク管理者がDNSトラフィックを識別しやすい
Security Measures
- 01DNSSECの導入と検証:自組織のドメインにDNSSECを実装し、DNSレスポンスの署名検証を有効にしてください。権威DNSサーバーとリゾルバの両方でDNSSECを設定し、キャッシュポイズニング攻撃からの保護を強化しましょう。
- 02暗号化DNS(DoH/DoT)の採用:DNS通信をDoHまたはDoTで暗号化し、盗聴や改ざんから保護してください。組織内のDNSリゾルバでDoTを有効にし、エンドユーザーのブラウザではDoHの使用を推奨しましょう。
- 03DNSトラフィックの監視:DNSクエリログを収集・分析し、異常なパターン(大量のTXTレコードクエリ、未知のドメインへの頻繁なアクセス、異常に長いサブドメインなど)を検知してください。DNSトンネリングやC2通信の兆候を早期に発見できます。
- 04レジストラアカウントの保護:ドメインレジストラのアカウントに多要素認証を設定し、レジストラロック(ドメインロック)を有効にしてください。不正なDNS設定変更を防止するため、変更通知の設定と定期的な設定確認を実施しましょう。
- 05オープンリゾルバの排除:自組織のDNSサーバーがオープンリゾルバとして外部からの再帰クエリを受け付けていないか確認してください。不要な再帰クエリを拒否することで、DNS増幅攻撃の踏み台として悪用されるリスクを排除できます。
- 06DNSフィルタリングの導入:既知の悪意あるドメインやC2サーバーへのDNSクエリをブロックするDNSフィルタリングサービスを導入してください。脅威インテリジェンスフィードと連携し、マルウェア通信やフィッシングサイトへのアクセスを予防しましょう。
Incidents
📋 Kaminsky Attack — DNS脆弱性の発見(2008年)
2008年、セキュリティ研究者のダン・カミンスキー氏がDNSプロトコルに存在する根本的な脆弱性を発見しました。この脆弱性を悪用すると、DNSキャッシュポイズニングを従来よりもはるかに効率的に実行でき、数秒以内にDNSキャッシュを汚染することが可能でした。
カミンスキー氏は責任ある脆弱性開示のプロセスに従い、主要なDNSソフトウェアベンダーと秘密裏に協力してパッチを開発しました。2008年7月に世界的な協調パッチリリースが行われ、インターネットインフラのセキュリティ史上最大級の修正作業となりました。この事件はDNSSEC普及の重要な契機となりました。
📋 Sea Turtle — 国家規模のDNSハイジャックキャンペーン(2019年)
2019年、Cisco Talosの研究チームが「Sea Turtle」と名付けた大規模なDNSハイジャックキャンペーンを公表しました。この攻撃は中東・北アフリカ地域の政府機関、通信事業者、インターネットインフラ企業など40以上の組織を標的とし、少なくとも2017年から活動していました。
攻撃者はまずDNSレジストラやccTLD管理組織を侵害し、標的組織のDNSレコードを改ざんしてトラフィックを中間者攻撃用のサーバーに誘導しました。正規の SSL/TLS証明書を取得することで、被害者は異常に気づかないまま認証情報を窃取されました。国家支援型の高度な攻撃グループによるものと見られています。
📋 DNSpionage — 中東標的のDNS攻撃キャンペーン(2018年)
2018年末、Cisco TalosはDNSpionageと名付けたサイバー攻撃キャンペーンを発見しました。この攻撃はレバノンとアラブ首長国連邦の政府機関や航空会社を標的とし、DNSハイジャックとマルウェアを組み合わせた高度な手法を使用していました。
攻撃者は標的組織のDNSレコードを改ざんし、メールサーバーやVPNへのトラフィックを攻撃者のサーバーにリダイレクトしました。Let's Encryptの証明書を取得して中間者攻撃を行い、従業員の認証情報を窃取しました。さらに、カスタムマルウェアを展開して長期的なアクセスを確保しました。この事件はDNSインフラのセキュリティ強化の必要性を改めて示しました。