DNS・ドメイン系の攻撃と対策
攻撃視点の分類 → セキュリティ脅威マップ / レイヤーB「端末・ネットワーク・基盤を侵す」
DNS(ディーエヌエス)は、インターネットの住所録(どの名前がどのサーバーかを教える電話帳) です。あなたが example.com と打つと、DNSが「その名前のサーバーはこの番号(IPアドレス)ですよ」と教えてくれて、はじめて目的のサイトにつながります。この住所録を書きかえられると、正しいURLを打っても偽サイトに飛ばされてしまいます。さらに、名前そのもの(ドメイン)を管理する会社のアカウントを奪われると、ドメインごと第三者に乗っ取られることもあります。利用者からは気づきにくく、運用する人(持ち主側)の守りが主役になる領域です。
このページの読み方 — 🟢 は全員が知っておく基礎、🔧 はエンジニア・運用担当者向けの実装/設定。まず🟢を全員で、🔧は技術担当が押さえる。
1. このジャンルの攻撃とは
家にたとえると、ドメイン(example.com)は「家の住所と表札」、DNSは「その表札を見て、どの家に行けばいいか教えてくれる住所録(電話帳)」 です。
- 住所録(DNS)に ウソの住所を書き込まれる と、訪ねてきた人(あなた)はまったく別の家(偽サイト)に案内されてしまう。
- 表札(ドメイン)そのものを 勝手に付けかえられる/盗まれる と、もうその名前はあなたのものではなくなる。
こわいのは、あなた自身は何も間違えていないこと。正しい名前を正しく打っても、案内する仕組みが汚染されていれば偽物にたどり着きます。だからこの領域は「うっかりクリック」を直す話ではなく、名前と住所録を管理する側がいかに守るかが中心になります。
2. 主な手口
| 手口 | しくみ(何が起きているか) |
|---|---|
| ドメイン乗っ取り | レジストラ(ドメイン管理会社)のアカウントを乗っ取られる、または 更新を忘れて失効 し、第三者に名前ごと取られる |
| DNSキャッシュポイズニング/スプーフィング | 住所録に ウソの住所(IP)を覚え込ませ、正しい名前を打った人を偽の行き先へ送る |
| サブドメインテイクオーバー | 使わなくなった古い設定(shop.example.com などの CNAME が外部サービスの空き枠を指したまま)を、第三者が乗っ取る |
| DNS設定改ざん | MXレコード(メールの配達先)や TXTレコード を書きかえ、会社のメールを横取りしたり、なりすまし送信を成立させる |
| DDoS(ディードス) | 大量のアクセスを浴びせて、サイトや DNSそのものをダウン させ、つながらなくする |
| タイポスクワッティング | exmaple.com のような 1文字違いの偽ドメイン を用意し、打ち間違い・見間違いで来た人をだます |
補足(CNAMEって何?) … 「この名前は、あっちの名前と同じ場所だよ」と転送する設定。引っ越し(外部サービスの解約)で“あっち”が空き家になったのに転送設定だけ残ると、空き家を借りた他人にそのまま案内されてしまう。これがサブドメインテイクオーバー。
3. 実例・典型シナリオ
- 正しいURLなのに偽サイト: ユーザーはブックマークから正規ドメインを開いただけ。しかし途中の住所録が汚染(ポイズニング)されていて、見た目そっくりの偽ログイン画面に誘導され、ID・パスワードを抜かれる。
- ドメインの更新忘れ → 失効 → 乗っ取り: 会社が支払い更新を忘れてドメインが失効。空いた瞬間に第三者が取得し、同じ名前で偽サイトを立ち上げる。顧客は「いつもの会社」と信じてアクセスしてしまう。
- 放置サブドメインの乗っ取り: キャンペーン用に作った
campaign.example.comを、外部サービス解約後も設定だけ残して放置。攻撃者がその空き枠を取得し、会社の正規ドメイン配下でフィッシングページを公開する。本物のドメインなので利用者は疑わない。 - DDoSでサービス停止: 申込日や障害発表のタイミングを狙って大量アクセスを集中させ、サイトやDNSを応答不能にする。売上機会の損失や、混乱に乗じた別の攻撃の目くらましにも使われる。
4. 対策
🟢 基礎(全員がやること)
- URLの綴り・ドメインをよく見る —
example.comとexmaple.com、-や数字の0/1のすり替えに注意。あやしければ公式アプリ/ブックマークから入り直す。 - 「英字そっくりの別言語の文字」に注意(ホモグラフ攻撃) — 英字の
aにそっくりな キリル文字のаなどを混ぜ、本物に見える偽ドメインを作る手口がある。見た目で見分けるのは難しいので、重要サイトはブックマーク/公式アプリから開くのが確実。ブラウザのアドレスがxn--…(ピュニコード)と表示されたら要警戒。 - 検索結果や広告の“行き先”を鵜呑みにしない — 検索の 広告枠や上位表示も公式とは限らない(広告経由や検索汚染で偽サイトが紛れる)。クリック先のドメインを確かめ、銀行・ログインはブックマークから入る。
- 鍵マークと正しいドメイン名を確認 — アドレスバーが HTTPS(鍵マーク)で、ドメイン名そのものが正しいことを見る。鍵マークは「通信が暗号化されている」印であって「本物の会社」の保証ではない点に注意。
- (自分がドメインを持つなら)自動更新を切らさない — 個人でも会社でも、ドメインの 自動更新を有効 にし、登録メールアドレスとクレジットカードの期限切れに気をつける。失効は乗っ取りの入口。
🔧 応用(エンジニア・運用)
- ドメインは増やしすぎない(まずサブドメインで検討) — 新サービスやキャンペーンごとに 新しいドメインを取得すると、更新・監視・レジストラ管理の対象が増え、守るべき面(攻撃面)が広がる。別ドメインが乱立すると 利用者が「どれが本物か」を見分けられなくなり、そっくりの偽ドメインに付け入る隙も生む。既存の主要ドメインのサブドメイン(
campaign.example.com)で済まないか をまず検討し、ドメインは絞って一元管理する。 - レジストラロック+レジストラ側の2FA — Registrar Lock(レジストラロック) を有効にして勝手な移管を防ぎ、レジストラ(および権威DNSの管理画面)のログインに 多要素認証(2FA) を必須化する。
- DNSSEC を有効化 — 住所録の応答に 電子署名 を付け、汚染(ポイズニング)された偽の回答を受け取り側が検出・拒否できるようにする。
- 権威DNSの変更検知・監視 — NS / A / MX / TXT などの レコード変更を監視・アラート し、失効・移管・改ざんを早期に気づける体制をつくる。
- 使わないDNSレコードの棚卸し・削除 — 解約済み外部サービスを指す CNAME など宙ぶらりんのレコードを定期的に洗い出して削除 し、サブドメインテイクオーバーの空き枠をなくす。
- CDN / WAF / Anti-DDoS — DNSやサイトの前段に CDN・WAF・DDoS対策サービス を置き、大量アクセスや不正リクエストを吸収・遮断する。
- SPF / DKIM / DMARC — メール認証の3点セットを正しく設定し、MX/TXT 改ざんやなりすまし送信 を検知・拒否する。なりすまし・フィッシング対策と連携させる(→ security-phishing.md)。
5. 解説動画(実在確認済み)
DNS/ドメインだけに特化したIPA公式動画はIDの確証が取れないため、特定の動画は埋め込みません。まずはIPA(情報処理推進機構)公式の入口から、信頼できる解説を探してください。
- IPA「映像で知る情報セキュリティ」(公式・映像コンテンツ一覧) — https://www.ipa.go.jp/security/videos/index.html
- IPA「情報セキュリティ10大脅威」 — https://www.ipa.go.jp/security/10threats/
DNS/ドメインに特化したIPA公式動画は、映像コンテンツ一覧から探せます。不正アクセスやなりすまし関連の動画とあわせて視聴すると、住所録が汚染されたときの被害イメージがつかみやすくなります。
6. チェックリスト
🟢 全員
- URLの綴り・ドメイン名をよく見て、1文字違いの偽物に気づける
- 英字そっくりの別言語文字(ホモグラフ)や
xn--表示に注意している - 検索結果の広告枠・上位表示を鵜呑みにせず、リンク先ドメインを確かめている
- HTTPS(鍵マーク)と正しいドメイン名の両方を確認している
- (自分のドメインがあれば)自動更新を有効にし、登録情報・カード期限を最新にしている
- あやしいときは公式アプリ/ブックマークから入り直す癖がある
🔧 エンジニア・運用
- 新規ドメインの乱立を避け、サブドメインで済む場合は既存ドメインに集約している
- レジストラロックを有効化し、レジストラ/権威DNS管理画面に2FAを設定済み
- 主要ドメインで DNSSEC を有効化している
- NS / A / MX / TXT などレコード変更の監視・アラートを設定している
- 解約済みサービスを指す CNAME 等のレコードを定期棚卸し・削除している
- CDN / WAF / Anti-DDoS でサイトとDNSを保護している
- SPF / DKIM / DMARC を設定し、なりすましメール対策と連携している
7. 関連ジャンル・出典
関連ジャンル
- セキュリティ脅威マップ(分類ハブ)
- なりすまし・フィッシング系の攻撃と対策 — 偽サイト誘導(DNS汚染・偽ドメインの“その先”)
- インフラ系 — OS・機器・ネットワーク土台の弱点
- クラウド設定・鍵管理系 — クラウドDNS設定・鍵の置き忘れ
出典(一次情報)
- IPA「映像で知る情報セキュリティ」 — https://www.ipa.go.jp/security/videos/index.html / IPA「情報セキュリティ10大脅威」 — https://www.ipa.go.jp/security/10threats/
- JPCERT/CC(DNS・ドメイン乗っ取り/DDoSの注意喚起)
- ICANN および各レジストラ(Registrar Lock・移管・DNSSEC の公式ガイド)
- NIST(DNSSEC・DNSセキュリティのガイドライン)