DNS を悪用した攻撃にはどのようなものがありますか？

代表的なものに DNS キャッシュポイズニング (偽の応答をキャッシュさせて偽サイトに誘導)、DNS ハイジャック (DNS 設定を書き換えて通信を乗っ取る)、DNS トンネリング (DNS 通信にデータを隠してファイアウォールを回避) があります。

DNS フィルタリングとは何ですか？個人でも使えますか？

DNS フィルタリングは、危険なドメインへのアクセスをDNS レベルでブロックする仕組みです。個人でも無料で利用でき、ルーターやデバイスの DNS 設定を Cloudflare (1.1.1.2) や Quad9 (9.9.9.9) に変更するだけで有効になります。

DNS over HTTPS (DoH) を使うメリットは何ですか？

DNS クエリが暗号化されるため、ISP や第三者に閲覧先のドメインを盗み見られるリスクが大幅に減ります。主要ブラウザの設定から簡単に有効化でき、公衆 Wi-Fi 利用時のプライバシー保護に特に効果的です。

DNS セキュリティとフィルタリングの活用

この記事は約 9 分で読めます

DNS (Domain Name System) はインターネットの根幹を支える仕組みであり、ドメイン名を IP アドレスに変換する「インターネットの電話帳」として機能しています。しかし、 DNS は 1983 年の設計当初からセキュリティが十分に考慮されておらず、攻撃者にとって格好の標的となっています。 Akamai の 2024 年レポートによると、マルウェアの通信の約 92% が DNS を経由しており、 2025 年現在も DNS を悪用した攻撃は増加傾向にあります。特に DNS over HTTPS (DoH) の普及に伴い、従来のネットワーク監視では検知が困難な DNS トンネリング攻撃が新たな脅威として浮上しています。本記事では、 DNS に対する主要な脅威と、安全な DNS サービスの選び方、フィルタリング機能の活用法を解説します。

DNS の仕組みと脆弱性

ブラウザに URL を入力すると、まず DNS リゾルバに問い合わせが行われ、ドメイン名に対応する IP アドレスが返されます。この名前解決のプロセスは通常、暗号化されていない平文の UDP 通信 (ポート 53) で行われるため、通信経路上の第三者に傍受・改ざんされるリスク (中間者攻撃) があります。 1 回の Web ページ表示で発生する DNS クエリは平均 20 〜 30 件に及び、それぞれが平文で送信されている点は見落とされがちです。

ISP (インターネットサービスプロバイダ) が提供するデフォルトの DNS は、ユーザーのアクセス先をすべて把握できる立場にあります。プライバシーの観点からも、 DNS の通信内容を保護することは重要です。注意すべき点として、 HTTPS で暗号化されたサイトにアクセスしていても、 DNS クエリ自体が平文であれば「どのサイトにアクセスしたか」は第三者に筒抜けになります。

DNS ハイジャック

DNS ハイジャックは、 DNS の応答を改ざんして、ユーザーを偽のサイトに誘導する攻撃です。攻撃者がルーターの DNS 設定を書き換えたり、マルウェアでローカルの DNS 設定を変更したりすることで実行されます。ユーザーは正規の URL を入力しているにもかかわらず、フィッシングサイトに誘導され、パスワードやクレジットカード情報を窃取される危険があります。家庭用ルーターの管理画面パスワードが初期設定のままになっているケースは多く、これが DNS ハイジャックの主要な侵入経路の一つです。ルーターの管理パスワードはパスつく.com で生成した強力なものに変更しておきましょう。

DNS スプーフィング - キャッシュポイズニング

DNS キャッシュポイズニングは、 DNS リゾルバのキャッシュに偽の DNS レコードを注入する攻撃です。リゾルバが偽のレコードをキャッシュすると、そのリゾルバを利用するすべてのユーザーが偽のサイトに誘導されます。 2008 年に発見された Kaminsky 攻撃は、 DNS のトランザクション ID がわずか 16 ビット (65,536 通り) しかない設計上の弱点を突いたもので、この脆弱性の深刻さを世界に知らしめました。現在でもソースポートランダム化などの緩和策が施されていますが、根本的な解決には DNSSEC の導入が必要です。

DNS キャッシュポイズニングの技術的背景を深く理解するには、DNS プロトコルとキャッシュポイズニング対策の技術書 (Amazon)が参考になります。

結局どうすればいいのか

DNS セキュリティの強化は、設定変更だけで大きな効果が得られます。初心者の方は、ルーターまたはデバイスの DNS 設定を Cloudflare (1.1.1.2) に変更するだけで、マルウェアサイトへのアクセスを DNS レベルでブロックできます。中級者の方は、ブラウザの DNS over HTTPS (DoH) を有効にし、ルーターの管理パスワードをパスつく.com で生成した強力なものに変更してください。子どもがいる家庭では、ルーターの DNS を Cloudflare の 1.1.1.3 (マルウェア + アダルトコンテンツブロック) に設定すると、追加のソフトウェアなしで家庭内の全デバイスを保護できます。

安全な DNS サービスの選び方

暗号化 DNS プロトコルへの対応

DNS 通信を保護するために、 DNS over HTTPS (DoH) や DNS over TLS (DoT) に対応した DNS サービスを選択してください。 DoH は DNS クエリを HTTPS (ポート 443) で暗号化し、通常の Web トラフィックと区別がつかないため、傍受や検閲が困難になります。 DoH の詳細な仕組みについては用語集も参照してください。 DoT は専用ポート (853) を使用して DNS 通信を TLS で暗号化します。どちらを選ぶかは環境次第ですが、企業ネットワークでは DoT が管理しやすく、個人利用では DoH がファイアウォールにブロックされにくいという特徴があります。

DNSSEC の検証

DNSSEC (DNS Security Extensions) は、 DNS 応答にデジタル署名を付与することで、応答の改ざんを検出する仕組みです。 DNSSEC の検証に対応した DNS リゾルバを使用することで、 DNS スプーフィングのリスクを大幅に低減できます。 Cloudflare (1.1.1.1) や Google Public DNS (8.8.8.8) は DNSSEC の検証に対応しています。ただし、 DNSSEC は DNS 応答の真正性を保証するものであり、通信の暗号化は行いません。プライバシー保護には DoH や DoT との併用が必要です。 APNIC の調査 (2024 年) によると、 DNSSEC の検証率は全世界で約 30% にとどまっており、普及はまだ途上です。

プライバシーポリシーの確認

DNS サービスを選ぶ際は、クエリログの保存期間と利用目的を確認してください。 Cloudflare は DNS クエリログを 24 時間で削除し、広告目的での利用を行わないことを明言しています。一方、一部の無料 DNS サービスはクエリデータを広告やマーケティングに利用している場合があります。よくある誤解として「無料 DNS は遅い」と思われがちですが、 Cloudflare の 1.1.1.1 は DNSPerf の計測で平均応答時間約 11ms と、多くの ISP 提供 DNS より高速です。

DNS フィルタリングの活用

マルウェアサイトのブロック

DNS フィルタリングは、既知のマルウェア配布サイトやフィッシングサイトのドメインを DNS レベルでブロックする技術です。ブラウザがこれらのドメインにアクセスしようとすると、 DNS リゾルバがブロックページの IP アドレスを返すか、名前解決を拒否します。 Cloudflare の 1.1.1.2 (マルウェアブロック) や 1.1.1.3 (マルウェア + アダルトコンテンツブロック) は、追加のソフトウェアなしで DNS フィルタリングを利用できます。 Cloudflare の公表データでは、 1.1.1.2 は 1 日あたり数十億件の悪意あるドメインへのリクエストをブロックしています。

家庭内ネットワークでの活用

ルーターの DNS 設定をフィルタリング対応の DNS サービスに変更することで、家庭内のすべてのデバイスに一括でフィルタリングを適用できます。子どもが利用するデバイスの安全性を高めるうえで、 DNS フィルタリングは手軽で効果的な手段です。個々のデバイスにセキュリティソフトをインストールする必要がなく、 IoT デバイスを含むすべての通信を保護できます。注意点として、 DNS フィルタリングはドメイン単位のブロックであるため、正規ドメイン上にホストされた悪意あるコンテンツ (例: 正規のクラウドストレージに置かれたマルウェア) は検出できません。ブラウザのセキュリティ機能やファイアウォール、エンドポイント保護との併用を推奨します。家庭外で公共 Wi-Fi を利用する場合は、VPN を使って DNS レベルの保護を維持することも検討してください。

DNS セキュリティとパスワード保護の関係

DNS ハイジャックやスプーフィングの最終的な目的は、多くの場合、ユーザーの認証情報を窃取することです。偽のログインページに誘導されたユーザーがパスワードを入力すると、その情報は攻撃者の手に渡ります。フィッシング対策と DNS セキュリティを組み合わせることで、この種の攻撃への耐性を大幅に高められます。 Anti-Phishing Working Group (APWG) の 2024 年レポートによると、フィッシング攻撃の約 36% が金融機関を標的としており、 DNS を悪用した誘導が主要な手口です。

この脅威に対する多層防御として、以下の対策を組み合わせてください。まず、安全な DNS サービスを利用して偽サイトへの誘導を防ぎます。次に、パスつく.com でサービスごとに固有のパスワードを生成し、万が一 1 つのパスワードが漏洩しても被害が他のサービスに波及しないようにします。さらに、重要なアカウントには二段階認証を設定し、パスワードだけでは突破できない追加の防御層を設けます。

多層防御の設計と実践手法については、多層防御とフィッシング対策の実践書 (Amazon)も参考になります。

DNS セキュリティは、パスワード保護やフィッシング対策と並ぶインターネット安全利用の基盤です。まずはルーターやデバイスの DNS 設定を確認し、暗号化 DNS とフィルタリングに対応したサービスへの切り替えを検討してください。そのうえで、パスつく.com で各サービスのパスワードを強化すれば、 DNS 攻撃とパスワード攻撃の両方に対する堅牢な防御体制を構築できます。

今すぐできること

ルーターの DNS 設定を Cloudflare の 1.1.1.2 (マルウェアブロック) に変更し、家庭内の全デバイスを保護する
ルーターの管理画面パスワードをパスつく.com で生成した 16 文字以上の強力なものに変更する (初期設定のままは危険)
ブラウザの DNS over HTTPS (DoH) を有効にする (Firefox: 設定 → プライバシーとセキュリティ → DNS over HTTPS を有効にする)
パスつく.com で各サービスに固有のパスワードを設定し、 DNS ハイジャックによるフィッシングに備える

よくある質問

DNS を悪用した攻撃にはどのようなものがありますか？: 代表的なものに DNS キャッシュポイズニング (偽の応答をキャッシュさせて偽サイトに誘導)、DNS ハイジャック (DNS 設定を書き換えて通信を乗っ取る)、DNS トンネリング (DNS 通信にデータを隠してファイアウォールを回避) があります。
DNS フィルタリングとは何ですか？個人でも使えますか？: DNS フィルタリングは、危険なドメインへのアクセスをDNS レベルでブロックする仕組みです。個人でも無料で利用でき、ルーターやデバイスの DNS 設定を Cloudflare (1.1.1.2) や Quad9 (9.9.9.9) に変更するだけで有効になります。
DNS over HTTPS (DoH) を使うメリットは何ですか？: DNS クエリが暗号化されるため、ISP や第三者に閲覧先のドメインを盗み見られるリスクが大幅に減ります。主要ブラウザの設定から簡単に有効化でき、公衆 Wi-Fi 利用時のプライバシー保護に特に効果的です。

この記事は役に立ちましたか？

パスワードを生成する →