インターネットの羅針盤！まず「DNS」を徹底的に理解しよう

DNSスプーフィングを理解するためには、まずその標的となる「DNS」について深く知る必要があります。

DNSとは？ – インターネット世界の超有能な「翻訳家兼ナビゲーター」

DNS（Domain Name System：ドメインネームシステム）とは、一言で言えば、人間が覚えやすいウェブサイト名（ドメイン名、例: www.example.com）を、コンピューターが通信相手を特定するための番号（IPアドレス、例: 192.0.2.1）に変換するシステムのことです。

考えてみてください。友達の家に行くとき、住所（例：東京都千代田区千代田1-1）を頼りに行きますよね？インターネットの世界では、この「住所」にあたるのが「IPアドレス」という数字の羅列です。しかし、この数字の羅列を人間が全て覚えておくのは非常に困難です。そこで、「田中さんの家」のように分かりやすい「名前」（これが「ドメイン名」です）を付け、その「名前」と「住所（IPアドレス）」を対応付ける仕組みが必要になります。この重要な役割を担っているのがDNSなのです。

DNSは、単に「翻訳」するだけでなく、あなたが「www.example.comに行きたい！」とリクエストした際に、そのウェブサイトが世界のどこにあるのかを探し出し、あなたのコンピューターを正しく導いてくれる「ナビゲーター」の役割も果たしています。もしDNSがなければ、私たちは膨大な数のIPアドレスを記憶しなければならず、インターネットの利用は非常に不便なものになってしまうでしょう。

DNSの階層構造 – 巨大な図書館の図書分類システムのように

DNSは、世界中に散らばる膨大な数のドメイン名とIPアドレスの対応情報を効率的に管理するために、階層構造になっています。これは、巨大な図書館が本を分類・整理するシステムに似ています。

• ルートDNSサーバー (Root DNS Server): 図書館全体の案内係のような存在。「.comに関する本はあちらの棚（TLDサーバー）へどうぞ」といったように、大まかな案内をします。世界に13基（実際には多数のミラーサーバーで運用）しかありません。
• TLD DNSサーバー (Top-Level Domain DNS Server): 「.com」や「.jp」、「.org」といったトップレベルドメイン（ドメイン名の最後の部分）ごとに情報を管理するサーバー。「example.comに関する本は、あちらの専門書庫（権威DNSサーバー）にあります」と、より具体的な場所を案内します。
• 権威DNSサーバー (Authoritative DNS Server): 特定のドメイン名（例: example.com）に関する最終的な情報（IPアドレスなど）を正式に保持・管理しているサーバー。図書館で言えば、その本が実際に置いてある書棚や、その本の著者自身のような存在です。このサーバーが「www.example.com のIPアドレスは 192.0.2.1 です」と正式な答えを教えてくれます。

この階層構造のおかげで、世界中のどこからでも、どんなドメイン名に対しても、効率的にIPアドレスを問い合わせることができるのです。

DNSクエリとは？ – 「IPアドレスを教えて！」というお願いメッセージ

DNSクエリ (DNS Query) とは、コンピューターが特定のドメイン名に対応するIPアドレスを知りたいときに、DNSサーバーに対して送る「問い合わせ」や「リクエスト」のことです。

あなたがブラウザのアドレスバーに「www.example.com」と入力してエンターキーを押すと、あなたのPCはまず「ねえ、DNSリゾルバさん、www.example.com のIPアドレスって何番ですか？」というDNSクエリを送信します。これが、ウェブサイトが表示されるまでの最初のステップの一つです。

DNSリゾルバ（キャッシュDNSサーバー）とは？ – あなたの一番身近なDNS相談窓口

DNSリゾルバ (DNS Resolver) は、あなたのPCやスマートフォンからのDNSクエリを最初に受け取り、IPアドレスを調べて教えてくれるDNSサーバーのことです。多くの場合、あなたが契約しているインターネットサービスプロバイダ（ISP）がDNSリゾルバを提供しています。キャッシュDNSサーバーとも呼ばれます。

DNSリゾルバの主な役割は以下の通りです。

• ユーザーからのDNSクエリ受付: あなたのPCから「www.example.com のIPアドレスは？」というDNSクエリを受け取ります。
• キャッシュの確認: まず、過去に同じ問い合わせがなかったか、自身の記憶（キャッシュ）を確認します。もしキャッシュに情報が残っていれば（例：1時間前に誰かが同じサイトのIPアドレスを尋ねていて、まだその情報が有効な場合）、他のサーバーに聞くまでもなく、即座に「192.0.2.1ですよ」と回答します。これにより、応答が非常に速くなります。
• 再帰的問い合わせ（情報収集の旅）: もしキャッシュに情報がない場合、DNSリゾルバはあなたに代わって、IPアドレスを探す旅に出ます。
  1. まず、ルートDNSサーバーに「.comドメインの情報はどこ？」と聞きます。
  2. ルートDNSサーバーから「TLD DNSサーバーAに聞いて」と教えられます。
  3. 次に、TLD DNSサーバーAに「example.comの情報はどこ？」と聞きます。
  4. TLD DNSサーバーAから「権威DNSサーバーBに聞いて」と教えられます。
  5. 最後に、権威DNSサーバーBに「www.example.comのIPアドレスは？」と聞き、ついにIPアドレス（例: 192.0.2.1）を入手します。

  このように、最終的な答えが得られるまで、DNSリゾルバが代わりに問い合わせを繰り返すことを「再帰的問い合わせ」と呼びます。

• ユーザーへの回答とキャッシュへの保存: 入手したIPアドレスをあなたのPCに教えます。そして、その情報を一定期間（通常、ウェブサイトの管理者が設定したTTLという有効期間）自身のキャッシュに保存し、次に同じ問い合わせがあった際に素早く応答できるように備えます。

このDNSリゾルバが持つ「キャッシュ機能」は非常に便利ですが、残念ながら、ここが悪意のある攻撃者によってDNSスプーフィングの標的にされてしまうことがあるのです。

DNSスプーフィングとは？インターネットの”住所案内”が乗っ取られる脅威

さて、DNSの基本をご理解いただいたところで、いよいよ本題のDNSスプーフィングです。

DNSスプーフィングとは、これまで説明してきたDNSの仕組みを悪用し、DNSサーバー（特にDNSリゾルバ）からの応答を偽装することで、ユーザーを正規のウェブサイトではなく、攻撃者が用意した悪意のある偽のウェブサイトへ誘導するサイバー攻撃の一種です。「スプーフィング(spoofing)」とは「なりすまし」や「偽装」を意味します。

この攻撃は、DNSリゾルバなどが持つDNS情報を一時的に保存する「キャッシュ」に、偽の情報を注入することから、一般的にDNSキャッシュポイズニング (DNS Cache Poisoning) と呼ばれます。

DNSスプーフィングはどのように行われるのか？その巧妙な手口を詳細ステップで解説

DNSキャッシュポイズニングは、一見複雑に見えますが、攻撃者はDNSリゾルバが外部の権威DNSサーバーに問い合わせている「応答待ち」のわずかな隙を狙って、偽の情報を信じ込ませようとします。ここでは、その代表的な攻撃ステップを具体的に見ていきましょう。

ステップ1: 標的のDNSリゾルバの特定と準備

攻撃者は、まず汚染の標的とするDNSリゾルバ（例: 特定のISPが提供するDNSリゾルバや、企業・組織内のDNSリゾルバ）を特定します。そして、ユーザーを誘導したい偽のウェブサイト（例: 本物の銀行サイトそっくりのフィッシングサイト）を用意し、その偽サイトのIPアドレスを控えておきます。

ステップ2: 標的DNSリゾルバへの「存在しないドメイン名」に関する大量のDNSクエリ送信

攻撃者は、標的のDNSリゾルバに対して、わざと存在しないランダムなサブドメイン名（例: ajx7q9p2.example.com、k3f8y1w0.example.comなど、攻撃者が乗っ取りたいドメインexample.comのランダムなサブドメイン）に対するDNSクエリを大量に送りつけます。

なぜこんなことをするのでしょう？ DNSリゾルバはこれらの「存在しない」問い合わせを受けると、自身のキャッシュには当然情報がないため、正規の権威DNSサーバー（この例ではexample.comの権威DNSサーバー）に「このランダムなサブドメインのIPアドレスは何ですか？」と問い合わせに行かざるを得なくなります。これにより、攻撃者はDNSリゾルバが外部と通信するタイミングを意図的に作り出すのです。

ステップ3: トランザクションIDとソースポートの推測・偽装の試み

DNSの通信では、各問い合わせ（クエリ）とそれに対する応答（レスポンス）を正しく紐づけるために、「トランザクションID」という16ビットの識別番号が使われます。また、通信には「ソースポート番号」というポートも使用されます。

DNSリゾルバが権威DNSサーバーに問い合わせを行う際、このトランザクションIDとソースポート番号はランダムに選ばれるべきですが、かつてのDNSソフトウェアの中には、これらのランダム性が低く、攻撃者がある程度推測できてしまうものがありました。攻撃者は、この推測したトランザクションIDとソースポート番号を使って、あたかも正規の権威DNSサーバーからの応答であるかのように見せかけようとします。

ステップ4: 偽のDNS応答（ポイズンパケット）の大量送信

ここが攻撃の核心です。DNSリゾルバが権威DNSサーバーからの正しい応答を待っている間に、攻撃者は推測（または総当たりで試行）したトランザクションIDとソースポート番号を使い、巧妙に細工された偽のDNS応答（これを「ポイズンパケット」と呼びます）を標的のDNSリゾルバに大量に送りつけます。この偽のDNS応答には、以下のような悪意のある情報が含まれています。

• 本来問い合わせていない情報に対する偽の回答:
  例えば、「www.本当の銀行.com のIPアドレスは、攻撃者の用意した偽サイトのIPアドレス AAA.BBB.CCC.DDD ですよ」という情報。
• さらに悪質なのは、権威DNSサーバー自体を偽物にすり替える情報:
  「本当の銀行.com ドメインに関する情報を管理している権威DNSサーバーは、実は攻撃者が管理している偽のDNSサーバー ns.fake-attacker.com (IPアドレス EEE.FFF.GGG.HHH) ですよ」という情報。

ステップ5: キャッシュの上書き（ポイズニング成功）と被害の発生

DNSリゾルバは、基本的に「一番早く到着した」「トランザクションIDが一致する」DNS応答を正しいものとして受け入れてしまう性質があります（※）。もし、正規の権威DNSサーバーからの正しい応答よりも先に、攻撃者からの偽の応答がDNSリゾルバに到達し、かつトランザクションIDなどが一致してしまうと、DNSリゾルバのキャッシュはその偽の情報で汚染されてしまいます。

特に、ステップ4の後半で述べたように「権威DNSサーバー自体が偽物である」という情報がキャッシュされてしまうと、そのドメイン（例: 本当の銀行.com）に関するあらゆる問い合わせ（mail.本当の銀行.com や shop.本当の銀行.com なども含む）が、正規のサーバーではなく攻撃者の用意した偽のDNSサーバーに誘導されることになります。これにより、非常に広範囲かつ持続的な被害が発生する可能性があります。

一度キャッシュが汚染されると、そのDNSリゾルバを利用している不特定多数のユーザーが、正規のウェブサイトにアクセスしようとしても、自動的に攻撃者の偽サイトに誘導されてしまうのです。

※補足: DNSの通信は主にUDPプロトコルが使われます。UDPはTCPと比べて通信相手の確認が厳密ではないため、送信元を偽装したパケットを送りつけやすいという特性があり、これがDNSスプーフィングの一因ともなっています。

このような手口で、DNSキャッシュポイズニングは実行されます。近年のDNSサーバーソフトウェアや運用では、トランザクションIDやソースポートのランダム化、DNSSEC（後述）といった対策が進んでいますが、攻撃者も常に新たな手法を編み出そうとしているため、油断はできません。

DNSスプーフィングの恐るべき目的と影響

DNSスプーフィングの被害に遭うと、様々な危険に晒される可能性があります。

フィッシング詐欺による情報窃取

攻撃者は、本物そっくりに作られた銀行、ECサイト、SNSなどの偽サイトへユーザーを誘導します。ユーザーがそこでID、パスワード、クレジットカード情報、個人情報などを入力してしまうと、それらの情報が攻撃者に盗まれてしまいます。

「いつも使っているサイトだから大丈夫」といった油断は禁物です。見た目が同じでも、裏で情報が筒抜けになっているかもしれません。フィッシング対策協議会の報告によれば、2023年のフィッシング報告件数は119万件を超えており、決して他人事ではありません。

マルウェアの感染

偽サイトにアクセスしただけで、あるいは偽サイト上のリンクをクリックしたりファイルをダウンロードしたりすることで、お使いのPCやスマートフォンがウイルスやスパイウェアなどのマルウェアに感染させられる可能性があります。これにより、さらなる情報漏洩や、デバイスの乗っ取りといった被害に繋がります。

中間者攻撃 (MitM) の踏み台

正規のサーバーとの通信経路の間に攻撃者が割り込み、通信内容を盗聴したり、改ざんしたりする「中間者攻撃」の準備段階としてDNSスプーフィングが悪用されることもあります。

企業の信頼失墜と経済的損失

企業がDNSスプーフィングの標的となり、顧客が偽サイトへ誘導されてしまうと、顧客情報の漏洩だけでなく、企業のブランドイメージが著しく低下し、経済的な損失を被る可能性があります。

DNSスプーフィングの兆候と確認方法

DNSスプーフィングの被害に遭っているかもしれない兆候には、以下のようなものがあります。

ウェブサイトのSSL/TLS証明書の警告

ブラウザが「この接続ではプライバシーが保護されません」「証明書が無効です」といった警告を表示する場合、DNSスプーフィングによって偽サイトに誘導されている可能性があります。正規のサイトとドメイン名が一致しない、発行元が信頼できないなどのケースです。

ウェブサイトのデザインや挙動がおかしい

普段利用しているサイトなのに、デザインが微妙に違う、日本語がおかしい、動作が不安定、などの場合は注意が必要です。

ログインできない、または不審な要求がある

正しいはずのID・パスワードでログインできない、あるいはログイン後に普段求められないような情報（秘密の質問の答え、クレジットカードの全情報など）の入力を要求される場合は警戒してください。

コマンドによる確認 (中級者向け)

Windowsならコマンドプロンプトで nslookup example.com、macOSやLinuxならターミナルで dig example.com と入力し、表示されるIPアドレスが正規のものか確認する方法もあります。不審な場合は、他の信頼できるネットワーク環境から同じコマンドを実行して比較してみましょう。

セキュリティソフトを常に最新の状態に保ち、警告が表示された場合は無視しないことが大切です。怪しいと感じたら、すぐに操作を中断し、情報を入力しないようにしましょう。

DNSスプーフィングから身を守る！具体的な対策方法

DNSスプーフィングの脅威から身を守るためには、ユーザー側、ウェブサイト運営者側、そしてDNSサーバー管理者側での対策が重要です。

【ユーザー向け】今すぐできる！DNSスプーフィング対策

• OS・ブラウザ・セキュリティソフトを常に最新の状態に保つ:
  ソフトウェアの脆弱性を悪用されるケースが多いため、アップデートは必ず行いましょう。
• 信頼できるDNSリゾルバを利用する:
  プロバイダが提供するDNSサーバー以外に、Google Public DNS (8.8.8.8, 8.8.4.4) や Cloudflare DNS (1.1.1.1, 1.0.0.1) といった、セキュリティ機能が強化されたパブリックDNSサービスを利用することを検討しましょう。これらの多くはDNSSEC検証をサポートしています。
• VPN (Virtual Private Network) を利用する:
  信頼できるVPNサービスを利用すると、通信が暗号化され、VPNサーバーが提供する安全なDNSを利用できるため、特に公衆Wi-Fiなど安全性の低いネットワークを利用する際のDNSスプーフィングリスクを軽減できます。ただし、無料VPNの中には信頼性に欠けるものもあるため、プロバイダの選定は慎重に行う必要があります。
• URLとHTTPS接続（鍵マーク）を必ず確認する:
  ウェブサイトにアクセスする際は、アドレスバーのURLが正しいか、そして https:// で始まり、鍵マークが表示されているか（SSL/TLSによる暗号化通信）を確認する習慣をつけましょう。鍵マークをクリックして証明書の詳細を確認するのも有効です。
• ブックマークや信頼できるアプリ内リンクを利用する:
  メールやSMS、不審な広告内のリンクから重要なサイト（特に金融機関など）へアクセスするのは避け、事前に登録したブックマークや公式サイトのアプリを利用しましょう。
• Wi-Fiルーターのセキュリティを強化する:
  • 管理画面のパスワードを初期設定から複雑なものに変更する。
  • ファームウェアを常に最新の状態に保つ。
  • WPSなど、利用していない不要な機能は無効化する。
• フィッシング詐欺への警戒心を常に持つ:
  少しでも「怪しい」と感じたら、安易に個人情報や認証情報を入力しないこと。

【ウェブサイト運営者向け】対策

• DNSSEC (DNS Security Extensions) を導入する:
  DNS応答にデジタル署名を付与し、DNS情報が改ざんされていないことを検証可能にする技術です。これにより、ユーザーが正規のサーバーに確実に到達できるようになります。
• 常時SSL/TLS化 (HTTPS) とHSTS (HTTP Strict Transport Security) の導入:
  ウェブサイト全体の通信を暗号化し、ブラウザにHTTPS接続を強制することで、中間者攻撃のリスクを低減します。
• SPF, DKIM, DMARC といったメール認証技術の導入:
  直接的なDNSスプーフィング対策ではありませんが、フィッシングメール対策として重要であり、ブランド保護に繋がります。

【DNSサーバー管理者向け】対策

• DNSサーバーソフトウェアの最新化とパッチ適用:
  既知の脆弱性を放置しないことが基本です。最新のバージョンでは、ソースポートのランダム化などが強化されています。
• DNSSECの有効化と検証の実施:
  自身が管理するゾーンへの署名だけでなく、外部への問い合わせ時にはDNSSEC検証を行うように設定します。
• ソースポートランダム化とトランザクションIDのランダム性強化:
  キャッシュポイズニング攻撃を困難にします。最近のDNSソフトウェアでは標準的に対策されていますが、設定を再確認しましょう。
• 再帰的問い合わせの制限:
  外部からの再帰的問い合わせ（オープンリゾルバ状態）を許可せず、サービスを提供する正規の利用者からの問い合わせのみに応答するように設定します。
• ログ監視と不正アクセスの検知:
  不審なクエリパターンやアクセス試行を監視し、異常を早期に発見できる体制を整えます。

進化するDNSセキュリティ技術：DNSSEC、DoH、DoT

DNSスプーフィングなどの脅威に対抗するため、新しいDNSセキュリティ技術も登場・普及してきています。

DNSSEC (DNS Security Extensions)

前述の通り、DNS応答の正当性を保証するための拡張機能です。送信側でDNSレコードにデジタル署名を行い、受信側（主にDNSリゾルバ）がその署名を検証することで、応答が改ざんされていないことを確認できます。普及にはドメイン登録者とDNSサービス提供者の双方が対応する必要があります。

DNSSECは、DNS情報の「送り主」と「内容」が正しいことを保証する「ハンコと封蝋」のようなものと例えられます。ただし、DNSクエリや応答そのものを暗号化するわけではない点に注意が必要です。

DoH (DNS over HTTPS) と DoT (DNS over TLS)

これらは、ユーザーのデバイスとDNSリゾルバ間のDNS通信を暗号化する技術です。

• DoT (DNS over TLS): 専用のポート（853番）を使用してTLSによりDNS通信を暗号化します。
• DoH (DNS over HTTPS): HTTPS通信（通常ウェブアクセスで使われる443番ポート）にDNSクエリを乗せて暗号化します。

これにより、途中でDNSクエリや応答が盗聴されたり、改ざんされたりするリスク（特にローカルネットワーク内での中間者攻撃によるDNSスプーフィング）を大幅に低減できます。主要なブラウザやOSでサポートが進んでいます。

DoH/DoTは、DNS通信のプライバシー保護とセキュリティ向上に大きく貢献します。ユーザーはブラウザやOSの設定でこれらの利用を選択できるようになってきています。ただし、企業ネットワークなどでは、管理者がDNSトラフィックを監視・制御できなくなるという側面もあるため、導入には検討が必要です。