Network Security

DNS SECURITY

DNSセキュリティ

Category: Network Security / Updated: 2026-05-26

📖

Overview

DNSセキュリティとは、DNS(Domain Name System:ドメインネームシステム)を標的とした攻撃から組織やユーザーを保護するための技術・対策の総称です。DNSはドメイン名(例:example.com)をIPアドレス(例:192.0.2.1)に変換する「インターネットの電話帳」として機能しており、すべてのインターネット通信の基盤となっています。

DNSは1983年に設計されたプロトコルで、当時はセキュリティの考慮がほとんどされていませんでした。そのため、DNSの応答を偽装するキャッシュポイズニング、DNS通信を盗聴するDNSスニッフィング、DNSサーバーを悪用するDDoS攻撃(DNS増幅攻撃)など、多様な攻撃手法が存在します。

DNSが攻撃されると、ユーザーは正しいURLを入力しているにもかかわらず偽のWebサイトに誘導されたり、メールが攻撃者のサーバーに転送されたりする可能性があります。また、マルウェアがDNSプロトコルを悪用して指令サーバー(C2サーバー)と通信する「DNSトンネリング」も深刻な脅威です。

これらの脅威に対抗するために、DNSSEC(DNS Security Extensions)、DoH(DNS over HTTPS)、DoT(DNS over TLS)などの技術が開発され、普及が進んでいます。

🔬

Details

主なDNS攻撃手法

  • DNSキャッシュポイズニング:DNSサーバーのキャッシュに偽のレコードを注入する攻撃。ユーザーが正規のURLにアクセスしても、攻撃者が用意した偽サイトに誘導される。2008年にDan Kaminsky氏が発見した手法により、攻撃の現実性が広く認知された。
  • DNSハイジャック:ドメインのDNS設定を不正に変更し、正規サーバーではなく攻撃者のサーバーにトラフィックを転送する攻撃。レジストラアカウントの侵害やルーターの設定改ざんなどの手法がある。
  • DNS増幅攻撃(DNS Amplification Attack):送信元IPアドレスを偽装したDNSクエリをオープンリゾルバに大量送信し、標的に対して大量のDNS応答を集中させるDDoS攻撃。DNS応答はクエリの数十倍のサイズになるため、増幅効果が高い。
  • DNSトンネリング:DNSプロトコルにデータを埋め込んで通信する技術。マルウェアがファイアウォールを迂回してC2サーバーと通信する手段として悪用される。DNSクエリは多くのネットワークで許可されているため、検知が困難。
  • ドメイン名の不正取得(タイポスクワッティング):正規ドメインに似た名前のドメインを取得し、ユーザーのタイプミスを利用して偽サイトに誘導する手法。

DNSSEC(DNS Security Extensions)

DNSSECは、DNS応答にデジタル署名を付与することで、応答の真正性と完全性を検証可能にする技術です。公開鍵暗号方式を使用し、DNS応答が改ざんされていないこと、正当な権威DNSサーバーから発行されたことを確認できます。ただし、DNSSECは認証と完全性は提供しますが、通信内容の暗号化(機密性)は提供しません。

DoH(DNS over HTTPS)とDoT(DNS over TLS)

DoHはDNSクエリをHTTPSで暗号化して送信するプロトコルで、ポート443を使用します。通常のHTTPS通信と区別がつかないため、DNSクエリの盗聴やフィルタリングが困難になります。DoTはDNSクエリをTLSで暗号化するプロトコルで、専用のポート853を使用します。どちらもDNS通信の機密性を確保しますが、ネットワーク管理者にとってはDNSベースのセキュリティフィルタリングが困難になるという課題もあります。

🛡️

Security Measures

  • 01
    DNSSECの導入:権威DNSサーバーでDNSSECを有効化し、DNS応答の完全性を保証する。リゾルバ側でもDNSSEC検証を有効にする。
  • 02
    オープンリゾルバの排除:自組織のDNSサーバーがオープンリゾルバ(誰でも利用可能な状態)になっていないことを確認する。DNS増幅攻撃の踏み台に悪用されることを防ぐ。
  • 03
    DNSログの監視:DNSクエリログを取得・分析し、不審なドメインへの通信やDNSトンネリングの兆候を検知する。新規登録ドメイン(NRD)やランダム文字列のドメインへのクエリは特に注意する。
  • 04
    DNSフィルタリングの導入:脅威インテリジェンスに基づいて、既知の悪意あるドメインへのDNSクエリをブロックする。マルウェアのC2通信やフィッシングサイトへのアクセスを未然に防止する。
  • 05
    レジストラアカウントの保護:ドメインを管理するレジストラアカウントに多要素認証を設定し、レジストラロック(ドメインの不正移管防止)を有効にする。
  • 06
    Response Rate Limiting(RRL)の設定:DNSサーバーに応答レート制限を設定し、DNS増幅攻撃の踏み台として悪用されることを防ぐ。
⚠️

Incidents

📋 Dyn社へのDNS DDoS攻撃(2016年)

2016年10月、DNSサービスプロバイダーのDyn社に対して大規模なDDoS攻撃が行われました。IoTボットネット「Mirai」に感染した数十万台のデバイスから大量のDNSクエリが送信され、Twitter、Netflix、Reddit、Spotifyなど多数の主要サービスが数時間にわたってアクセス不能になりました。DNS基盤の脆弱性とIoTセキュリティの問題を同時に浮き彫りにした事件です。

📋 Sea Turtle DNSハイジャックキャンペーン(2017年〜2019年)

国家支援の攻撃グループによるDNSハイジャックキャンペーン「Sea Turtle」が、中東・北アフリカを中心に少なくとも40の組織を標的に実行されました。攻撃者はレジストラやDNSサービスプロバイダーに侵入してDNSレコードを改ざんし、正規サイトへのトラフィックを中間者攻撃用のサーバーに誘導して認証情報を窃取しました。

📋 DNSキャッシュポイズニングによるブラジル銀行被害(2017年)

2017年、ブラジルの大手銀行のDNSレコードが改ざんされ、約5時間にわたって同銀行の全36ドメインのトラフィックが攻撃者のサーバーに転送されました。フィッシングサイトに誘導されたユーザーの認証情報やクレジットカード情報が窃取されました。DNSインフラ全体が攻撃対象となった大規模な事例です。

🔗

Related Terms

ファイアウォール SSL / TLS DMZ(非武装地帯) IDS / IPS