DNS・ドメイン系の攻撃と対策

攻撃視点の分類 → セキュリティ脅威マップ / レイヤーB「端末・ネットワーク・基盤を侵す」

DNS(ディーエヌエス)は、インターネットの住所録(どの名前がどのサーバーかを教える電話帳) です。あなたが example.com と打つと、DNSが「その名前のサーバーはこの番号(IPアドレス)ですよ」と教えてくれて、はじめて目的のサイトにつながります。この住所録を書きかえられると、正しいURLを打っても偽サイトに飛ばされてしまいます。さらに、名前そのもの(ドメイン)を管理する会社のアカウントを奪われると、ドメインごと第三者に乗っ取られることもあります。利用者からは気づきにくく、運用する人(持ち主側)の守りが主役になる領域です。

このページの読み方 — 🟢 は全員が知っておく基礎、🔧 はエンジニア・運用担当者向けの実装/設定。まず🟢を全員で、🔧は技術担当が押さえる。

1. このジャンルの攻撃とは

家にたとえると、ドメイン(example.com)は「家の住所と表札」DNSは「その表札を見て、どの家に行けばいいか教えてくれる住所録(電話帳)」 です。

  • 住所録(DNS)に ウソの住所を書き込まれる と、訪ねてきた人(あなた)はまったく別の家(偽サイト)に案内されてしまう。
  • 表札(ドメイン)そのものを 勝手に付けかえられる/盗まれる と、もうその名前はあなたのものではなくなる。

こわいのは、あなた自身は何も間違えていないこと。正しい名前を正しく打っても、案内する仕組みが汚染されていれば偽物にたどり着きます。だからこの領域は「うっかりクリック」を直す話ではなく、名前と住所録を管理する側がいかに守るかが中心になります。

2. 主な手口

手口 しくみ(何が起きているか)
ドメイン乗っ取り レジストラ(ドメイン管理会社)のアカウントを乗っ取られる、または 更新を忘れて失効 し、第三者に名前ごと取られる
DNSキャッシュポイズニング/スプーフィング 住所録に ウソの住所(IP)を覚え込ませ、正しい名前を打った人を偽の行き先へ送る
サブドメインテイクオーバー 使わなくなった古い設定(shop.example.com などの CNAME が外部サービスの空き枠を指したまま)を、第三者が乗っ取る
DNS設定改ざん MXレコード(メールの配達先)や TXTレコード を書きかえ、会社のメールを横取りしたり、なりすまし送信を成立させる
DDoS(ディードス) 大量のアクセスを浴びせて、サイトや DNSそのものをダウン させ、つながらなくする
タイポスクワッティング exmaple.com のような 1文字違いの偽ドメイン を用意し、打ち間違い・見間違いで来た人をだます

補足(CNAMEって何?) … 「この名前は、あっちの名前と同じ場所だよ」と転送する設定。引っ越し(外部サービスの解約)で“あっち”が空き家になったのに転送設定だけ残ると、空き家を借りた他人にそのまま案内されてしまう。これがサブドメインテイクオーバー。

3. 実例・典型シナリオ

  • 正しいURLなのに偽サイト: ユーザーはブックマークから正規ドメインを開いただけ。しかし途中の住所録が汚染(ポイズニング)されていて、見た目そっくりの偽ログイン画面に誘導され、ID・パスワードを抜かれる。
  • ドメインの更新忘れ → 失効 → 乗っ取り: 会社が支払い更新を忘れてドメインが失効。空いた瞬間に第三者が取得し、同じ名前で偽サイトを立ち上げる。顧客は「いつもの会社」と信じてアクセスしてしまう。
  • 放置サブドメインの乗っ取り: キャンペーン用に作った campaign.example.com を、外部サービス解約後も設定だけ残して放置。攻撃者がその空き枠を取得し、会社の正規ドメイン配下でフィッシングページを公開する。本物のドメインなので利用者は疑わない。
  • DDoSでサービス停止: 申込日や障害発表のタイミングを狙って大量アクセスを集中させ、サイトやDNSを応答不能にする。売上機会の損失や、混乱に乗じた別の攻撃の目くらましにも使われる。

4. 対策

🟢 基礎(全員がやること)

  1. URLの綴り・ドメインをよく見るexample.comexmaple.com- や数字の 01 のすり替えに注意。あやしければ公式アプリ/ブックマークから入り直す。
  2. 「英字そっくりの別言語の文字」に注意(ホモグラフ攻撃) — 英字の a にそっくりな キリル文字の а などを混ぜ、本物に見える偽ドメインを作る手口がある。見た目で見分けるのは難しいので、重要サイトはブックマーク/公式アプリから開くのが確実。ブラウザのアドレスが xn--…(ピュニコード)と表示されたら要警戒。
  3. 検索結果や広告の“行き先”を鵜呑みにしない — 検索の 広告枠や上位表示も公式とは限らない(広告経由や検索汚染で偽サイトが紛れる)。クリック先のドメインを確かめ、銀行・ログインはブックマークから入る。
  4. 鍵マークと正しいドメイン名を確認 — アドレスバーが HTTPS(鍵マーク)で、ドメイン名そのものが正しいことを見る。鍵マークは「通信が暗号化されている」印であって「本物の会社」の保証ではない点に注意。
  5. (自分がドメインを持つなら)自動更新を切らさない — 個人でも会社でも、ドメインの 自動更新を有効 にし、登録メールアドレスとクレジットカードの期限切れに気をつける。失効は乗っ取りの入口。

🔧 応用(エンジニア・運用)

  1. ドメインは増やしすぎない(まずサブドメインで検討) — 新サービスやキャンペーンごとに 新しいドメインを取得すると、更新・監視・レジストラ管理の対象が増え、守るべき面(攻撃面)が広がる。別ドメインが乱立すると 利用者が「どれが本物か」を見分けられなくなり、そっくりの偽ドメインに付け入る隙も生む。既存の主要ドメインのサブドメイン(campaign.example.com)で済まないか をまず検討し、ドメインは絞って一元管理する。
  2. レジストラロック+レジストラ側の2FARegistrar Lock(レジストラロック) を有効にして勝手な移管を防ぎ、レジストラ(および権威DNSの管理画面)のログインに 多要素認証(2FA) を必須化する。
  3. DNSSEC を有効化 — 住所録の応答に 電子署名 を付け、汚染(ポイズニング)された偽の回答を受け取り側が検出・拒否できるようにする。
  4. 権威DNSの変更検知・監視 — NS / A / MX / TXT などの レコード変更を監視・アラート し、失効・移管・改ざんを早期に気づける体制をつくる。
  5. 使わないDNSレコードの棚卸し・削除 — 解約済み外部サービスを指す CNAME など宙ぶらりんのレコードを定期的に洗い出して削除 し、サブドメインテイクオーバーの空き枠をなくす。
  6. CDN / WAF / Anti-DDoS — DNSやサイトの前段に CDN・WAF・DDoS対策サービス を置き、大量アクセスや不正リクエストを吸収・遮断する。
  7. SPF / DKIM / DMARC — メール認証の3点セットを正しく設定し、MX/TXT 改ざんやなりすまし送信 を検知・拒否する。なりすまし・フィッシング対策と連携させる(→ security-phishing.md)。

5. 解説動画(実在確認済み)

DNS/ドメインだけに特化したIPA公式動画はIDの確証が取れないため、特定の動画は埋め込みません。まずはIPA(情報処理推進機構)公式の入口から、信頼できる解説を探してください。

DNS/ドメインに特化したIPA公式動画は、映像コンテンツ一覧から探せます。不正アクセスやなりすまし関連の動画とあわせて視聴すると、住所録が汚染されたときの被害イメージがつかみやすくなります。

6. チェックリスト

🟢 全員

  • URLの綴り・ドメイン名をよく見て、1文字違いの偽物に気づける
  • 英字そっくりの別言語文字(ホモグラフ)や xn-- 表示に注意している
  • 検索結果の広告枠・上位表示を鵜呑みにせず、リンク先ドメインを確かめている
  • HTTPS(鍵マーク)と正しいドメイン名の両方を確認している
  • (自分のドメインがあれば)自動更新を有効にし、登録情報・カード期限を最新にしている
  • あやしいときは公式アプリ/ブックマークから入り直す癖がある

🔧 エンジニア・運用

  • 新規ドメインの乱立を避け、サブドメインで済む場合は既存ドメインに集約している
  • レジストラロックを有効化し、レジストラ/権威DNS管理画面に2FAを設定済み
  • 主要ドメインで DNSSEC を有効化している
  • NS / A / MX / TXT などレコード変更の監視・アラートを設定している
  • 解約済みサービスを指す CNAME 等のレコードを定期棚卸し・削除している
  • CDN / WAF / Anti-DDoS でサイトとDNSを保護している
  • SPF / DKIM / DMARC を設定し、なりすましメール対策と連携している

7. 関連ジャンル・出典

関連ジャンル

出典(一次情報)


合わせて読む