DNS スプーフィングとは
この記事は約 2 分で読めます
DNS スプーフィング (DNS Spoofing) とは、 DNS (Domain Name System) の応答を偽装して、ユーザーを正規のサイトではなく攻撃者が用意した偽サイトに誘導する攻撃です。 DNS キャッシュポイズニングとも呼ばれ、ユーザーが正しい URL を入力しても偽サイトに接続されるため、フィッシングよりも検知が困難です。 2025 年現在、 DNS over HTTPS (DoH) の普及が進んでいますが、企業内ネットワークでの DNS キャッシュポイズニングは依然として有効な攻撃手法として報告されています。
現場での使用例
「社内 DNS サーバーのキャッシュが汚染され、従業員がアクセスしたグループウェアのログインページが偽サイトにすり替わっていました。約 50 名の認証情報が窃取されるまで 3 日間気づけませんでした。」
DNS スプーフィングのフロー
DNS スプーフィングの手口
攻撃者は DNS サーバーのキャッシュに偽の IP アドレスを注入するキャッシュポイズニング、ローカルネットワーク上で DNS 応答を横取りする DNS ハイジャック、マルウェアで端末の DNS 設定を書き換える手法などを使います。 2008 年に発見された Kaminsky 攻撃は、 DNS プロトコルの根本的な脆弱性を突いたもので、インターネット全体に影響を与えました。DNS セキュリティの書籍 (Amazon)で技術的な詳細を学べます。
実際の被害シナリオ
公共 Wi-Fi に接続した際、攻撃者が DNS 応答を偽装してオンラインバンキングの偽サイトに誘導し、ログイン情報を窃取するケースがあります。ユーザーはブラウザのアドレスバーに正しい URL が表示されているため、偽サイトだと気づきにくいのが特徴です。ただし、 HTTPS 接続であれば証明書の不一致で警告が表示されるため、SSL/TLS 証明書の確認が重要です。DNS セキュリティの記事で詳しい対策を解説しています。
対策方法
DNSSEC (DNS Security Extensions) の導入により、 DNS 応答の真正性を暗号的に検証できます。 DNS over HTTPS (DoH) や DNS over TLS (DoT) を使用すれば、 DNS クエリ自体を暗号化して改ざんを防止できます。個人レベルでは、信頼できる DNS サーバー (Google Public DNS 、 Cloudflare DNS) を使用し、公共 Wi-Fi では VPN を併用することが有効です。強力なランダムパスワードでルーターの管理画面を保護し、 DNS 設定の改ざんを防ぎましょう。ネットワーク防御の書籍 (Amazon)も参考になります。
この記事は役に立ちましたか?