DNSポイズニングを理解するための総合ガイド

DNSポイズニング攻撃とは？

DNSはインターネットの基盤となるインフラストラクチャであり、人間が理解しやすいテキスト形式のドメイン名を、コンピュータが認識できる数値形式のインターネットプロトコル（IP）アドレスに変換します。ユーザーがブラウザにウェブサイトのURLを入力すると、一連のインターネット上のクエリが起動され、この複雑なプロセスによって、通常は数ミリ秒以内にユーザーが意図したウェブサイトに誘導されます。

こうしたインターネットクエリはまずインターネットサービスプロバイダ（ISP）に送信され、ISPがそのIPアドレスをキャッシュ（保存）している場合、コンピュータは正しいウェブサイトにたどり着きます。ISPが侵害された場合、サイバー犯罪者はキャッシュされたIPアドレスを自分たちが管理する不正なウェブサイトに置き換え、企業のウェブトラフィックを犯罪者が選択したコンテンツへリダイレクトします。

つまり、攻撃者はサーバー（ISPなど）にアクセスし、保存された情報を彼らの悪意あるウェブサイトに置き換えます。これをDNSポイズニングと呼びます。この種の攻撃は、キャッシュポイズニング、DNSキャッシュポイズニング、またはドメインポイズニングとしても知られています。

その結果、DNSなりすましが発生します。これにより、ウェブサイト訪問者はブランドが同一に見える詐欺サイトへ誘導され、正当な企業とやり取りしていると誤信したまま、機密情報や認証情報を知らずに提供してしまいます。その過程でマルウェアやウイルスをダウンロードする可能性もあります。

DNSキャッシュポイズニングとDNSなりすまし攻撃

DNSポイズニングは、DNSなりすまし攻撃の一種です。DNSなりすまし攻撃では、偽のDNSデータが挿入され、ユーザーが気付かないうちに不正なウェブサイトへ誘導されます。DNSキャッシュポイズニングは、特にDNSリゾルバのキャッシュ機構を標的とし、悪意のあるレコードを挿入します。これらのレコードは、キャッシュの有効期限が切れるか手動でクリアされるまで残存します。改ざんされたDNSレコードは、直接的なウェブサイトへのアクセスだけでなく、ウェブリクエストに依存して機能するその他のインターネット依存型サービスにも影響を及ぼす可能性があります。

キャッシュポイズニングとDNSの乗っ取り

ドメインレベルでのDNS設定変更を伴うDNSの乗っ取りとは異なり、キャッシュポイズニングはDNSリゾルバのキャッシュ内に保存された応答を操作するものです。つまり、企業の公式DNSレコードが安全に保たれていても、侵害されたリゾルバに依存するユーザーは、操作されたキャッシュキーによって誤った方向へ誘導される可能性があります。影響は一時的な場合が多く、操作されたDNSサーバーに依存するユーザーのみに影響が及びます。キャッシュがクリアまたは更新されると、侵害は終了します。

DNSの乗っ取りは、ドメインのDNS設定を直接掌握することを伴い、DNSレコードが手動で修正されるまで影響が継続します。

DNSキャッシュポイズニングとウェブキャッシュポイズニング

DNSキャッシュポイズニングおよびウェブキャッシュポイズニングは、時に混同されることがありますが、これらは異なる脅威です。DNSキャッシュポイズニングは、DNSリゾルバのキャッシュを操作してユーザーを不正なウェブサイトへリダイレクトする一方、ウェブキャッシュポイズニングは、HTTPヘッダーやキャッシュ機構の脆弱性を悪用し、悪意のあるコンテンツを保存・配信するものです。どちらもデータの一時的な保存（キャッシュ）を伴いますが、DNSキャッシュポイズニングはユーザーがサイトに到達する方法に影響を及ぼすのに対し、ウェブキャッシュポイズニングはユーザーが到着した後に提供されるコンテンツの内容に影響を与えます。

ドメインポイズニングの影響

近年ではDNSキャッシュポイズニングの発生頻度は減少傾向にありますが、脆弱性を増幅させ、より深刻な攻撃やフィッシング詐欺につながる可能性があるため、企業にとって依然として脅威となっています。訪問者を正しいウェブサイトから誤ったサイトへリダイレクトすることは、ブランドの評判を損ない、収益の損失や顧客の信頼喪失につながります。さらに、セキュリティインシデントの発生後、企業は法的責任に直面する可能性があります。

DNSキャッシュポイズニングの検出方法

この種のアクティビティが発生した際の最も明らかな兆候は、顧客や従業員が間違ったウェブサイトにアクセスした、あるいは異常なエラーメッセージに遭遇したと報告する場合です。その他の危険信号としては、DNSレコードに一致しないIPアドレスが見つかることや、見慣れない、またはほとんど使用されないドメインへのクエリが急増することが挙げられます。幸いにも、自動化されたモニタリングツールにより、DNSレコードの整合性を継続的に確認し、発生する可能性のある不一致を特定することが可能です。

キャッシュポイズニング攻撃の解決法

侵害が発生した場合、企業は被害を最小限に抑えるため迅速に対応しなければなりません。最初の対応として、影響を受けたサーバーのDNSキャッシュをクリアすることが挙げられます。これにより、侵入者によって挿入された不正なレコードが削除され、DNSサーバーは信頼できるソースから正しい情報を取得するようになります。

これは通常、システムコマンドで実行できます。具体的な手順は、使用しているオペレーティングシステムやDNS ソフトウェアによって異なります。例：

• Windowsサーバーの場合：「ipconfig /flushdns」コマンドを使用してください。

• LinuxまたはmacOSサーバーの場合：システムに応じて「sudo systemd-resolve --flush-caches」または「sudo dscacheutil -flushcache」コマンドを使用します。

キャッシュをクリアした後、DNSサーバーが信頼できるソースから正しい情報を取得していることを確認してください。

DNSポイズニングを防ぐ方法

ネットワークの安全性と回復力を維持する最善の方法は、最初から防御策を強化することです。

偽造されたDNSデータからウェブサイト訪問者を保護するには、DNSセキュリティ拡張機能（DNSSEC）を使用します。DNSが最初に作られた時、セキュリティは優先事項として組み込まれていませんでした。この見落としを修正するため、デジタル署名でDNSクエリと応答を検証するDNSSECが設計されました。

DNSSECの採用は過去数年間で着実に増加していますが、依然として普遍的な慣行とは程遠い状況です。とはいえ、DNSキャッシュポイズニングを防止する上で最も推奨されるセキュリティ対策の一つです。

DNSキャッシュポイズニングを防止するその他の方法には次のものがあります：

• セキュリティ面で定評のある信頼できるDNSプロバイダーの選択
• 再帰的DNSクエリおよびゾーン転送を信頼できるユーザーのみに制限する
• DNSレコードのTTL（Time-To-Live）値を短縮し、ポイズニングされた可能性のあるデータがキャッシュに保持される期間を制限する
• 予期せぬ急増や不規則なパターンなど、ポイズニングの試みを示す可能性のある異常を検知するため、DNSトラフィックをモニタリングする

DNSSECの導入、信頼できるDNSプロバイダーの利用、そしてモニタリングによる警戒態勢の維持といった対策を講じることで、企業は自社ドメインと顧客を危険からより効果的に保護できます。

信頼性の高いDNSサービスを採用する

優れたDNSセキュリティプラットフォームを選択することで、DNSキャッシュポイズニングなどの攻撃を回避できます。CSC では、インフラストラクチャを保護し、オンラインプレゼンスの整合性を確保するDNSSECなどの高度なセキュリティを提供しています。オペレーションが脅威にさらされてしまう前に、進化する脅威からブランドを守る方法について、ぜひご相談下さい。