DNS Spoofing - Cache Poisoning and Redirectionとは

About 2 min read

DNS スプーフィング (DNS Spoofing) とは、DNS (Domain Name System) の応答を 偽装して、ユーザーを正規のサイトではなく攻撃者が用意した偽サイトに 誘導する攻撃です。DNS キャッシュポイズニングとも呼ばれ、 ユーザーが正しい URL を入力しても偽サイトに接続されるため、フィッシングよりも検知が困難です。 2025 年現在、DNS over HTTPS (DoH) の普及が進んでいますが、 企業内ネットワークでの DNS キャッシュポイズニングは依然として 有効な攻撃手法として報告されています。

現場での使用例

「社内 DNS サーバーのキャッシュが汚染され、従業員がアクセスした グループウェアのログインページが偽サイトにすり替わっていました。 約 50 名の認証情報が窃取されるまで 3 日間気づけませんでした。」

DNS スプーフィングのフロー

DNS スプーフィングの手口

攻撃者は DNS サーバーのキャッシュに偽の IP アドレスを注入する キャッシュポイズニング、ローカルネットワーク上で DNS 応答を横取りする DNS ハイジャック、マルウェアで端末の DNS 設定を書き換える手法などを 使います。2008 年に発見された Kaminsky 攻撃は、DNS プロトコルの 根本的な脆弱性を突いたもので、インターネット全体に影響を与えました。DNS security books on Amazonで技術的な詳細を学べます。

実際の被害シナリオ

公共 Wi-Fi に接続した際、攻撃者が DNS 応答を偽装してオンラインバンキングの 偽サイトに誘導し、ログイン情報を窃取するケースがあります。 ユーザーはブラウザのアドレスバーに正しい URL が表示されているため、 偽サイトだと気づきにくいのが特徴です。ただし、HTTPS 接続であれば 証明書の不一致で警告が表示されるため、SSL/TLS 証明書の確認が重要です。DNS セキュリティの記事で 詳しい対策を解説しています。

対策方法

DNSSEC (DNS Security Extensions) の導入により、DNS 応答の真正性を 暗号的に検証できます。DNS over HTTPS (DoH) や DNS over TLS (DoT) を 使用すれば、DNS クエリ自体を暗号化して改ざんを防止できます。 個人レベルでは、信頼できる DNS サーバー (Google Public DNS、Cloudflare DNS) を使用し、公共 Wi-Fi では VPN を併用することが有効です。パスつく.com で生成した強力なパスワードで ルーターの管理画面を保護し、DNS 設定の改ざんを防ぎましょう。network defense guides (Amazon)も参考になります。