DNS セキュリティ - DNS セキュリティ
DNS(ドメインネームシステム)に対する攻撃を防ぐための技術と対策。DNS ポイズニング、DNS リフレクション攻撃への防御を含む。
概念図
実例
DNSSEC による検証付きで名前解決
bash
dig @8.8.8.8 example.com +dnssec +shortドメインの DNSSEC 公開鍵を確認
bash
dig example.com DNSKEY +shortDNS への主な攻撃手法
DNS はインターネットの基盤ですが、設計当初はセキュリティが考慮されていませんでした。
- DNS キャッシュポイズニング: DNS キャッシュに偽のレコードを注入し、ユーザーを悪意あるサイトに誘導する
- DNS リフレクション / アンプ攻撃: 送信元を偽装した DNS クエリを大量に送り、標的に増幅されたレスポンスを送りつける DDoS 手法
- DNS トンネリング: DNS プロトコルを悪用してファイアウォールをバイパスし、データを外部に持ち出す
- ドメインハイジャック: レジストラのアカウントを乗っ取り、DNS レコードを書き換える
対策とベストプラクティス
- DNSSEC の導入: DNS レスポンスにデジタル署名を付加し、改ざんを検知する
- DoH / DoT の使用: DNS over HTTPS(DoH)や DNS over TLS(DoT)で DNS クエリ自体を暗号化する
- レスポンスレート制限(RRL): DNS サーバーのレスポンス頻度を制限し、リフレクション攻撃を緩和する
- DNS ログの監視: 異常なクエリパターン(大量の NXDOMAIN, TXT レコードの連続取得など)を検知する
- レジストラロック: ドメインのレジストラロック機能を有効にし、不正な移管を防止する