高岡智則
年齢:33歳 性別:男性 職業:Webディレクター(兼ライティング・SNS運用担当) 居住地:東京都杉並区・永福町の1LDKマンション 出身地:神奈川県川崎市 身長:176cm 体系:細身〜普通(最近ちょっとお腹が気になる) 血液型:A型 誕生日:1992年11月20日 最終学歴:明治大学・情報コミュニケーション学部卒 通勤:京王井の頭線で渋谷まで(通勤20分) 家族構成:一人暮らし、実家には両親と2歳下の妹 恋愛事情:独身。彼女は2年いない(本人は「忙しいだけ」と言い張る)
dnsポイズニングとは?
dnsポイズニングとは、ドメインネームシステム(DNS)の応答を攻撃者が偽装して、利用者を本来アクセスすべきサイトではなく、攻撃者が用意した偽のサイトへ導く悪質な手口です。
DNSは私たちがURLを入力したときに背後で働く「住所録」のようなもので、正しいIPアドレスに変換してくれます。しかし、この仕組みに脆弱性や不正な操作が入り込むと、悪意のある人がDNSの返答を偽ってしまうことがあります。これが dnsポイズニングの基本的なアイデアです。
仕組みのイメージ
通常、ブラウザは名前をIPアドレスに変えるためにDNSクエリを送ります。攻撃者は偽のDNS応答を速く返したり、キャッシュに偽の情報を書き込みます。結果として、利用者の端末や中継機器が「このドメインの正しいIPはここだ」と信じてしまい、実際には attacker の用意した偽サイトへ誘導されるのです。こうした攻撃は「キャッシュポイズニング」や「DNSスプーフィング」と呼ばれることがあります。
dnsポイズニングがうまく成立すると、個人情報の窃取、マルウェアの拡散、企業の機密情報の盗用など深刻な被害につながります。特に公共のWi‑Fiを利用しているときや、信頼できないネットワーク環境で起こりやすいのが特徴です。
どうして起こるのか
DNSは階層的な仕組みで名前解決を行います。攻撃者は、DNSサーバやそのキャッシュに対して不正な情報を書き込み、正規の応答よりも早く偽の応答を受け取らせることを狙います。Kaminskyの脆弱性として有名なケースもあり、特定の条件下で乱数IDやポート番号の推測を難しくする対策が取られていなかった時代には大きな問題となりました。現在では対策が進んでいますが、依然としてゼロデイの脆弱性や設定ミスが原因で発生するケースはあります。
影響と被害の可能性
dnsポイズニングが成功すると、利用者は偽のウェブサイトへ誘導され、入力したパスワードやクレジットカード情報、メールアカウントなどが盗まれる可能性があります。加えて、偽サイトから malware がダウンロードされることや、企業のVPNや社内システムへの不正アクセスにつながるケースも報告されています。安全性の高いサイトだと思ってクリックしたリンクから malware に感染するリスクは決して小さくありません。
防御と対策
対策は大きく分けて技術的な対策と利用者の注意の2つです。技術的な対策としては以下の3点が重要です。
| 対策 | 内容 | 効果 |
|---|---|---|
| DNSSECの導入 | DNSの応答にデジタル署名を付与し、正当な権威 DNS サーバだけが正しい情報を提供できるようにする | 改ざんを検知・防止し、偽情報の信頼性を低下させる |
| DNS over TLS/HTTPSの利用 | DNSクエリを暗号化して通信経路上での傍受・改ざんを困難にする | 盗聴や中間者攻撃を抑制する |
| 信頼できるDNSリゾルバの選択 | 信頼性の高い公開DNSや企業運用のDNSを選ぶ | 偽情報を受け取りにくくする |
利用者側の注意点としては、URLをよく確認する習慣をつけること、HTTPSの鍵マークや証明書の発行元をチェックすること、突然のリダイレクトや怪しいポップアップには近づかないことが挙げられます。
日常での具体的なコツ
信頼できるネットワークを使い、公共のWi‑Fiを利用する場合はVPNを使う、ブラウザのセキュリティ設定を高める、OSとアプリを最新状態に保つといった日常的な対策が有効です。また、エラーメッセージに出てくるドメイン名と実際のURLが一致するかを確認する癖をつけましょう。少しでも不審に感じたらリンクをクリックせず、公式サイトから直接URLを打ち込むことが安全です。
対策の比較と実践のヒント
以下の表は実際に役立つ対策の比較です。新しい環境では可能な限り DNSSEC を有効にする、家庭では DNS over TLS/HTTPS をサポートするルータや端末を使うなど、段階的に導入していくと良いでしょう。
dnsポイズニングの同意語
- DNSポイズニング
- DNSキャッシュ・リゾルバのキャッシュデータに偽情報を挿入して、利用者が接続するドメインのIPアドレスを不正に書き換える攻撃の総称。
- DNSキャッシュポイズニング
- 同じく、DNSリゾルバのキャッシュを偽情報で汚染して、間違ったIPへ誘導する攻撃。
- DNSキャッシュ汚染
- DNSリゾルバのキャッシュを偽情報で汚染し、解決されるIPアドレスを誤らせる行為。
- DNSスプーフィング
- DNSの応答を偽装して、クライアントに誤ったIPアドレスを返す攻撃の手法。
- DNS偽装
- DNSレスポンスの偽装を用いて、ユーザーを別のサイトへ誘導する攻撃。
- DNSレスポンス偽装
- DNS応答そのものを偽造して、正規の回答に見せかけないIPへ誘導する手口。
- DNS応答偽造
- DNSの応答内容を偽造して、被害者の接続先を意図的に変更する行為。
- DNSハイジャック
- DNSの制御や応答を奪取・操作して、利用者を不正なIPへ誘導する攻撃。
dnsポイズニングの対義語・反対語
- DNS正当性保証
- DNSレスポンスの真正性と整合性を保証する考え方。DNSSECの署名検証などで実現します。
- DNS改ざん防止
- DNS応答が第三者により改ざんされるのを未然に防ぐための対策全般。
- DNSセキュリティ強化
- DNS全体のセキュリティを高め、ポイズニングを含む攻撃への耐性を高める取り組み。
- DNSSEC導入
- DNS応答に署名を付与し、検証可能にする技術を導入すること。
- DNS応答検証
- 受信したDNS応答の正当性を検証して信頼できる情報だけを利用する。
- DNS応答の署名検証
- 署名付きDNS応答の署名を検証して改ざんを検出する手順。
- 安全なDNS解決
- DNS解決過程を安全な手順で行い、信頼性を確保すること。
- DNSトラフィックの暗号化
- DNSクエリと応答を暗号化して盗聴・改ざんを防ぐ。
- DoH/DoT導入
- DNS over HTTPS/TLSを使い、通信経路を保護して攻撃の機会を減らす。
- DNSキャッシュポイズニング対策
- キャッシュポイズニングを未然に防ぐ具体的な対策を講じること。
- DNS監査・監視の強化
- DNSの挙動を継続的に監視・検査して異常を早期に検出する。
- 署名検証の必須化
- DNS応答の署名検証を必須とすることで改ざんを防ぐ運用を整える。
dnsポイズニングの共起語
- DNSキャッシュポイズニング
- DNSの再帰リゾルバのキャッシュに偽の名称解決結果を注入し、同名のドメインに対する解決を悪意あるIPへ誘導する攻撃。
- DNSスプーフィング
- 偽のDNS応答を返して、利用者を攻撃者の用意したIPへ誘導する手法。
- DNSハイジャック
- DNSの設定や解決経路を乗っ取って、ドメイン名解決の行き先を不正に変更する行為。
- 偽装応答
- 正規のDNS応答になりすまして偽のIPアドレスを返すこと。
- 偽のAレコード
- AレコードのIPアドレスを偽装して悪意あるサーバーへ誘導する。
- 偽のAAAAレコード
- IPv6アドレスを偽って解決結果を改ざんする。
- 偽のCNAMEレコード
- 別名レコードを偽情報で返し、別ドメインへ誘導する。
- MITM(中間者攻撃)
- 通信経路上でデータを傍受・改ざんし、DNS応答を操作できる攻撃手法。
- 中間者攻撃
- 通信経路上の介在者がデータを改ざんして不正な解決結果を得る行為。
- UDPポート53
- DNSの標準通信ポート。ポイズニングはこの経路を介して拡散・実行されることがある。
- 再帰的リゾルバ
- クライアントの名前解決を代行するソフトウェア。キャッシュを保持する場合があり、ポイズニングの影響対象になる。
- レゾルバ
- DNSクエリを解決する役割を持つソフトウェア/サービス。攻撃の経路に関係する。
- 権威DNSサーバ
- ドメインの正式なDNS情報を提供するサーバ。偽情報が伝播すると被害が拡大する。
- DNSキャッシュ
- 解決済みレコードを一時保存する領域。偽情報がキャッシュに入り込むと被害が長引く。
- TTL(生存期間)
- DNSレコードの有効期限を決める値。TTLが長いと偽情報の影響が長引くことがある一方、短いTTLは回復を早めることがある。
- DNSSEC
- DNSポイズニングを防ぐためのセキュリティ拡張。署名付きゾーンと検証機能を提供する。
- DNSSEC署名
- ゾーンデータを署名して応答の正当性を検証可能にする仕組み。
- ゾーン署名
- DNSSECの要素のひとつ。ゾーンデータに署名を付与して検証可能にする。
- DNSSEC検証
- 受信側で署名の検証を行い、偽情報を排除する仕組み。
- DNS改ざん
- DNSデータを書き換える行為の総称。ポイズニングはこの一形態。
- ドメイン乗っ取り
- DNSを悪用してドメインの所有権や解決先を不正に変更する行為。
- 偽の権威応答
- 権威DNSサーバからの偽の解決結果を返すこと。
- 防御対策(DNSポイズニング対策)
- DNSSEC導入、正しいリゾルバ設定、監視・検知、キャッシュ管理など、ポイズニングを防ぐ一連の対策。
dnsポイズニングの関連用語
- DNSポイズニング
- DNSの回答を偽装して、利用者を別のIPに誘導する攻撃。主にDNSリゾルバのキャッシュや応答の仕組みを狙います。
- DNSキャッシュポイズニング
- DNSリゾルバのキャッシュを偽情報で汚染し、同じドメイン名の問合せに偽のIPを返す手口。Kaminsky攻撃などが有名です。
- DNSスプーフィング
- 攻撃者が正規のDNS応答を偽造して、クライアントに偽情報を信じさせる技術。DNSポイズニングの一形態です。
- キャッシュ
- DNSサーバが回答を一時的に保存する仕組み。頻繁な問合せを速く処理するためですが、汚染されると広範囲に影響します。
- 再帰的DNSリゾルバ
- クライアントの名前解決を代行して行うDNSサーバ。外部の権威サーバから情報を取得して返します。キャッシュポイズニングの標的になりやすいです。
- 権威DNSサーバ
- ゾーンデータの正規情報を保持するサーバ。解決結果の信頼性を左右します。偽情報を返さないよう厳格な運用が必要です。
- TTL (Time To Live)
- DNSレコードの有効期間を表す値。短過ぎると更新が追いつかず、長過ぎると正確性が落ちることがあります。
- NXDOMAIN応答
- 存在しないドメイン名に対して返されるエラー応答。偽情報として悪用されるリスクがあります。
- Kaminsky攻撃
- 1990年代後半に公開された、DNSリゾルバのキャッシュを偽応答で汚染する有名な攻撃。トランザクションIDとポート番号の推測を利用します。
- DNSSEC
- DNSデータの署名検証を可能にする仕組み。改ざんを検知・防止することで、DNSポイズニングに対抗します。
- DNSKEY/DS/RRSIG
- DNSSECで使われる鍵と署名のデータ。署名の検証に用いられるレコードです。
- DNS over HTTPS (DoH)
- HTTPSを使ってDNSクエリを送る通信方式。通信の秘匿性と改ざん耐性を高めます。
- DNS over TLS (DoT)
- TLSを使ってDNSクエリを送る通信方式。DoHと同様に暗号化とプライバシーを強化します。
- 偽のAレコード
- 偽のIPアドレスを指すAレコードを返すことで、訪問先を偽サイトへ誘導する手口です。
- 偽のCNAMEレコード
- 別名を偽装して、偽のドメインへ誘導するレコード。正規名の解決を妨げます。
- 偽のAAAAレコード
- IPv6アドレスの偽情報を返し、接続先を不正な場所へ誘導します。
- 応答の検証と乱数化
- トランザクションIDの予測を難しくするため、クエリのポート番号やIDをランダム化します。Kaminsky対策の基本です。
- ゾーン転送のセキュリティ
- AXFR/IXFRの不正取得を防ぐ設定。転送元の認証とアクセス制御が重要です。
- DNSリゾルバの実装脆弱性
- 一部の実装にはキャッシュ汚染に対する脆弱性があり、最新パッチ適用と適切な設定が必要です。
dnsポイズニングのおすすめ参考サイト
- DNS キャッシュポイズニングまたはスプーフィングとは - Akamai
- DNSエラーとは?名前解決ができない原因や解決方法について解説
- DNSポイズニング(DNSスプーフィング)攻撃とは:定義、手法
- DNSキャッシュポイズニングとは? | DNSスプーフィング - Cloudflare
- DNS キャッシュポイズニングまたはスプーフィングとは - Akamai
- [DNS入門] 基礎から分かる「DNSキャッシュポイズニング」とは - note
- ドメインネームシステムポイズニングとは? - Fortinet
インターネット・コンピュータの人気記事
