DNSハイジャックとは?検出、防止、緩和

by

最終更新日:
13 読了時間:13分
DNSハイジャックとは?検出、防止、緩和

主なポイント

  • DNSハイジャックとは、ハッカーがDNS応答を改ざんし、ユーザーを悪意のあるWebサイトに誘導したり、機密データを盗み出したり、Webトラフィックや電子メール通信を傍受したりする攻撃の一種です。
  • DNSハイジャックには主に4つの種類があります:ローカルDNSハイジャック、ルーターDNSハイジャック、不正DNSハイジャック、および中間者攻撃です。それぞれDNS解決プロセスの異なる段階を標的としています。
  • DNSハイジャックの一般的な兆候としては、ウェブページの読み込みが遅い、ポップアップ広告が頻繁に表示される、予期せぬリダイレクトが発生する、ブラウザに警告が表示される、SSL証明書が一致しない、などが挙げられます。
  • DNSハイジャックは、ルーターのDNS設定を確認する、ネットワークにpingを送信する、デバイスのhostsファイルを検査する、またはWhoIsMyDNSなどのオンラインツールを使用することで検出できます。
  • 予防策としては、DNSSECの導入、信頼できるDNSプロバイダーの利用、ルーターのファームウェアの更新、強固なパスワード管理、多要素認証、および定期的なDNSの監視など、多層的なアプローチが必要です。

DNSハイジャックは、何の前触れもなく行われるため、最も巧妙なサイバー攻撃の一つです。

ブラウザには正しいURLが表示され、接続も正常に見えるかもしれませんが、実際には、攻撃者がすでにあなたの通信を、ログイン情報、金融データ、または機密情報を盗むために作られた偽のウェブサイトへとリダイレクトしている可能性があります。

DNSハイジャック攻撃では、ハッカーがあなたのDNSにアクセスし、固有のIPアドレスを別のものに変更します。これにより、あなたの知らないうちにウェブトラフィック全体が別のサーバーへ転送されます。

このガイドでは、DNSハイジャックとは何か、その仕組み、さまざまな攻撃の種類、DNSハイジャックの検知方法、そして修正と防止のために必要な手順について解説します。

DNSハイジャックとは何ですか?

DNSハイジャックを理解するには、まずドメインネームシステム(DNS)がどのような役割を果たしているのかを理解しておくと役立ちます。

その DNS は、いわばインターネットの電話帳のようなものです。ブラウザにウェブサイトのアドレスを入力すると、DNSの検索プロセスによって、その人間が読みやすいドメイン名が、そのウェブサイトをホストしているサーバーの実際のIPアドレスに変換されます。

このDNS解決プロセスは数ミリ秒で完了し、おかげで数字の羅列を覚えることなくインターネットを閲覧できるのです。

DNSハイジャックとは、攻撃者がDNS応答を操作し、ユーザーを不正なサイトや悪意のあるサイトへリダイレクトさせる攻撃の一種です。通常であれば、DNSクエリは正しいサーバーに到達し、正しいIPアドレスが返されますが、攻撃者はこのプロセスを傍受または改ざんし、ユーザーのトラフィックを自身が制御するサーバーへ転送します。

DNSハイジャックの原因は何ですか?

DNSハイジャックは、攻撃者がDNS解決プロセスを乗っ取るために悪用する、いくつかの根本的な脆弱性や設定ミスが原因で発生します。

一般的な根本原因:

  • DNSレジストラのアカウントセキュリティの脆弱性:デフォルトのパスワード、二要素認証の未導入、および不十分なアクセス制御
  • 不適切なDNS設定:誤設定されたDNSサーバー、オープンリゾルバー、不十分なアクセス制限
  • 古いソフトウェアおよびファームウェア:ルーター、DNSサーバー、およびネットワークインフラにおける未修正の脆弱性
  • ドメインの期限切れと失効:悪意のある主体によって再登録可能な期限切れドメイン
  • ソーシャルエンジニアリング攻撃:ドメイン管理者およびレジストラサポートスタッフを標的とする

DNSハイジャックの仕組み

ウェブサイトにアクセスするたびに、お使いのデバイスはDNSリゾルバーにDNSリクエストを送信します。DNSリゾルバーは、権威あるネームサーバーに問い合わせを行い、入力されたドメイン名に対応する正しいIPアドレスを特定します。DNSハイジャッキングは、このプロセスの途中の1つ以上のポイントを侵害することで、この仕組みを悪用します。

通常のDNS解決プロセス

通常のDNS検索では、そのプロセスは次のような予測可能な流れをたどります:

  • ブラウザにウェブサイトのアドレスを入力します
  • お使いのデバイスは、通常はインターネットサービスプロバイダが提供するDNSリゾルバにDNSクエリを送信します
  • リゾルバーはDNSキャッシュに保存された応答を確認し、存在しない場合は再帰的リゾルバーおよび権威ネームサーバーに問い合わせを行う
  • 正しいIPアドレスが返され、ブラウザは正規のWebサイトに接続します

攻撃者がDNS接続を乗っ取る仕組み

攻撃者はこのプロセスの複数のポイントでDNSを乗っ取ることが可能です。

使用される手法によっては、デバイスにマルウェアをインストールしたり、ルーターを侵害したり、サーバーレベルでDNS接続をハッキングしたり、デバイスとリゾルバー間のDNS通信を傍受したりする可能性があります。

手法が何であれ、結果は同じです。DNSリクエストに対しては、トラフィックを攻撃者のDNSサーバーや悪意のあるサイトへリダイレクトする偽のDNSレコードが返されます。そこから、攻撃者は正規のサイトと見分けがつかない偽のウェブサイトを表示させたり、入力したデータを盗み出したり、デバイスにマルウェアを送り込んだりすることが可能です。

DNSハイジャック攻撃の種類

DNSハイジャック攻撃には複数の種類があり、それぞれがDNSインフラの異なる構成要素を標的としています。これらの攻撃経路を理解することで、組織は適切な防御策を講じることができます。

ローカルDNSハイジャック

ローカルDNSハイジャックでは、攻撃者がデバイスにマルウェアをインストールしてローカルDNS設定を変更し、すべてのクエリを攻撃者のサーバーにリダイレクトします。これは通常、ユーザーがフィッシングメールや侵害されたウェブサイトを通じて、知らず知らずのうちにトロイの木馬型マルウェアをダウンロードしたことから始まります。

マルウェアがインストールされると、デバイスのDNS設定を乗っ取り、その時点から:

  • ユーザーのコンピュータからのすべてのDNSリクエストは、攻撃者が制御する不正なDNSサーバーを経由して転送される
  • 影響を受けるのは感染したデバイスだけであり、ネットワーク全体には影響しません
  • 攻撃者は、そのデバイスのインターネット通信がどこに送信されるかを完全に制御する
  • この変化はオペレーティングシステムレベルで静かに起こるため、検出が困難です

ルーターのDNSハイジャック

ルーターのDNSハイジャックはネットワークゲートウェイを標的とし、攻撃者がルーターのDNS設定を変更することで、そのルーターに接続されているすべてのデバイスに影響を及ぼすことを可能にします。

攻撃者は通常、ファームウェアの脆弱性を悪用したり、変更されていないデフォルトのパスワードを利用したりして、ルーターの管理画面にアクセスします。一度侵入されると、その影響はネットワーク全体に波及します:

  • ネットワーク上のすべてのデバイス(ノートパソコン、スマートフォン、IoTデバイスを含む)のDNSクエリは、黙ってリダイレクトされる
  • ユーザーは自身のトラフィックが乗っ取られていることに気づかない。なぜなら侵害はルーターレベルで発生しており、個々のデバイス上ではないからだ。
  • この攻撃は、誰かが手動でルーターのDNS設定を確認し、不正な変更に気づくまで続きます

これにより、ルーターのDNSハイジャックは、複数のユーザーが同じゲートウェイを共有する家庭、小規模事業所、公共Wi-Fiネットワークにおいて特に危険です。

不正なDNSハイジャック

不正なDNSハイジャックは、正規のDNSサーバーを侵害してDNSレコードを改ざんし、ユーザーの知らないうちに悪意のあるサイトへ誘導する攻撃です。この攻撃はDNSインフラそのものを標的とします。

また、この妥協は上流の段階でなされるため、その影響は広範囲に及ぶ:

  • 不正なDNSサーバーは、正規のサーバーをハッキングして作成されることもあれば、ユーザーを騙して利用させるような仕組みを通じて作成されることもあります
  • 侵害されたサーバーにDNS解決を依存しているすべてのユーザーが影響を受けています
  • 攻撃者は特定のドメインのDNSレコードを変更し、トラフィックをリダイレクトしたり、機密データを傍受したり、大規模にマルウェアを配布したりすることが可能です。

この種のDNSハイジャックは、エンドユーザーのデバイスやネットワーク上で異常が確認されないため、検知が困難である。

中間者攻撃(DNS)

中間者攻撃(MITM) は、ユーザーのクエリとDNSサーバーの応答の間の通信経路を悪用し、正当な応答が届く前に偽造されたDNS応答を挿入します。

攻撃者はユーザーとDNSリゾルバーの間に位置し、DNSトラフィックをリアルタイムで傍受します。攻撃の展開は以下の通りです:

  • デバイスがDNSクエリを送信すると、攻撃者はそれを傍受し、悪意のあるIPアドレスを指す偽の応答を返す
  • あなたのデバイスは、偽の応答が正当な応答よりも先に到着するため、それを受け入れてしまいます
  • ブラウザは攻撃者のサーバーに接続しますが、多くの場合、ユーザーには目に見える警告が表示されません

1万人以上の顧客がPowerDMARCのプラットフォームを信頼している理由はここにあります

  • AIを活用した脅威インテリジェンスにより、なりすまし攻撃や不正なメールが大幅に減少
  • オンボーディングの迅速化と認証管理の自動化により、ITチームの作業時間を大幅に削減
  • ドメインを横断したリアルタイムの脅威インテリジェンスとPGP暗号化レポート
  • 厳格な管理によるメール配信率の向上 DMARCの実施 専門家の指導のもと

最初の15日間は当社がご招待します

無料トライアルを開始

DNSハイジャック vs. DNSスプーフィング vs. DNSキャッシュポイズニング

DNSハイジャック、DNSスプーフィング、DNSキャッシュポイズニングは密接に関連しているが、DNS解決プロセスの異なる部分を標的とする。以下の表は主な相違点を整理したものである。

DNSハイジャックDNSスプーフィングDNSキャッシュポイズニング
対象となるものデバイス、ルーター、またはDNSサーバーのDNS設定ユーザーとリゾルバーの間を中継されるDNS応答再帰的リゾルバーによって保存されたキャッシュされたDNSレコード
仕組み攻撃者は、DNSの設定を直接変更するか、DNSインフラを侵害してクエリをリダイレクトさせる攻撃者は、DNS通信ストリームに偽造されたDNS応答を混入させる攻撃者はリゾルバのキャッシュに偽のDNSレコードを注入し、そのリゾルバにクエリを送信するすべてのユーザーが誤ったIPアドレスを受け取るようにする
影響の範囲状況により異なる:単一のデバイス(ローカル)、ネットワーク全体(ルーター)、またはサーバーの全ユーザー(不正アクセス)通常、個々のセッションまたは接続を対象とする同じDNSリゾルバーに依存している何千人ものユーザーに影響を与える可能性があります
永続性問題のある設定またはサーバーが修正されるまで継続する通常、アクティブな攻撃の持続時間に限られる毒入りキャッシュエントリの有効期限が切れるまで存続する
検出の難しさ中程度:DNS設定の監査や監視ツールを通じて検出可能難しい点:偽装された応答と正当な応答を見分けるのは困難である難易度:悪意のあるエントリが通常のキャッシュされたレコードのように見える
一次防御安全なDNS設定、強固なパスワード、レジストリのロック、DNSの監視DNSSEC検証、暗号化DNS(DoH/DoT)DNSSEC、キャッシュ検証、リゾルバの信頼制限

DNSハイジャックが企業に与える影響

企業にとって、DNSハイジャック攻撃が成功した場合、収益、評判、顧客の信頼に深刻かつ広範な影響を及ぼす可能性があります。

財務上の損失

DNSハイジャックは、ユーザーを悪意のあるサイトに誘導することで、企業に多大な経済的損失をもたらす可能性があります。

顧客がウェブサイトにアクセスしようとした際に偽のサイトに誘導されると、攻撃者は支払い情報を盗み出したり、取引を乗っ取ったり、そのアクセス権を利用してさらなる攻撃を仕掛けたりすることが可能になります。

インシデント対応のコスト、法的リスク、および規制当局からの罰金が、被害をさらに拡大させる。

顧客の信頼の喪失

DNSハイジャックにより、ユーザーを詐欺サイトに誘導される可能性があり、その結果、企業は顧客の信頼を失う恐れがあります。

顧客が自社のウェブサイトだと信じてアクセスした際にデータが盗まれた場合、顧客は貴社に責任を問うことになるでしょう。その原因が自社のインフラにあるか、あるいは侵害されたDNSサーバーにあるかに関わらず、です。その信頼を取り戻すには、技術的な脆弱性を修正するよりもはるかに長い時間がかかります。

データの漏洩およびマルウェアの拡散

DNSハイジャックにより、ログイン認証情報や金融データなどの機密性の高い顧客情報が漏洩する恐れがあります。

データ盗難に加え、DNSハイジャックの影響として、悪意のあるサイトにリダイレクトされたユーザーへのマルウェアの拡散が挙げられます。つまり、自社のドメインが、知らず知らずのうちに自社の顧客を感染させる手段となってしまう可能性があるのです。

運営上の混乱

DNSハイジャックは、正当なユーザーがウェブサイトにアクセスできなくすることで、業務に支障をきたす可能性があります。

もしあなたの DNSレコード が変更され、実際のサーバーを指さなくなると、ハイジャックの影響を受けるすべてのユーザーに対して、サイトは事実上オフライン状態になります。また、電子メールの通信も傍受される可能性があり、日常業務にさらなる支障をきたす恐れがあります。

風評被害

サイバー犯罪者は、フィッシング攻撃を行うためにDNSハイジャックを頻繁に利用しており、これにより企業の評判がさらに損なわれる恐れがあります。

ブランドがフィッシングサイトやマルウェア配布スキームと関連付けられた場合、たとえ短期間であっても、技術的な問題が解決した後も、評判への影響は長く尾を引く可能性があります。

DNSハイジャックの検知方法

DNSハイジャックは目立たないように仕組まれていますが、痕跡は残ります。警告の兆候を把握し、適切な確認作業を行うことで、深刻な被害が生じる前に侵害の有無を特定することができます。

デバイス、ネットワーク、およびドメインにおけるDNSハイジャックを検出する方法をご紹介します。

よくある兆候に注意してください

DNSに問題が生じている可能性を示す日常的な兆候に、ツールを実行する前に注意を払ってください。DNSハイジャックの一般的な兆候には以下が含まれます:

  • トラフィックが悪意のあるサーバーを経由するため、Webページの読み込みが通常より著しく遅くなる
  • 普段は表示されないようなウェブサイトに、頻繁にポップアップ広告が表示される
  • 「お使いのコンピュータがマルウェアに感染しています」と警告するポップアップが表示され、偽のウイルス対策ソフトのダウンロードへと誘導されることがよくあります
  • 正当なURLにアクセスしようとした際に、予期せぬリダイレクトが発生し、見知らぬウェブサイトに飛ばされる
  • 信頼しているサイトでのブラウザの警告やSSL証明書の不一致
  • DNS通信の傍受によるメール配信の問題

ルーターのDNS設定を確認してください

ルーターのDNSハイジャックは最も一般的な手口の一つであるため、ルーターのDNS設定を確認することが、まず行うべき重要な手順です。ルーターの管理画面にログインし、DNS設定のセクションに移動してください。

リストされているDNSサーバーが、ご自身が設定したものでない場合、または見覚えのないIPアドレスを指している場合は、ルーターが不正アクセスを受けている可能性があります。

リストされているDNSサーバーを、Google Public DNS(8.8.8.8 および 8.8.4.4)やCloudflare(1.1.1.1)などの信頼できるプロバイダーと比較してください。何か不審な点があれば、直ちに設定を元に戻し、ルーターのパスワードを変更してください。

お使いのデバイスのhostsファイルを確認してください

ローカルでのDNSハイジャックを確認するには、お使いのデバイス上のhostsファイルの内容を確認してください。hostsファイルはドメイン名をIPアドレスに割り当てるもので、マルウェアによって改変され、特定のWebサイトを不正なサーバーにリダイレクトされる可能性があります。

  • Windowsでは、hostsファイルは C:\Windows\System32\drivers\etc\hosts にあります。
  • macOS および Linux では、\etc\hosts にあります

ファイルを開き、自分が追加していないエントリがないか確認してください。見覚えのないドメインとIPアドレスの対応関係、特に銀行サイト、メールプロバイダー、またはソーシャルメディアプラットフォームに関するものが見られた場合、お使いのデバイスが不正アクセスを受けている可能性があります。

ネットワークにPingを送信して、DNS応答を確認する

簡単なDNSハイジャックのテスト方法として、存在しないドメインにpingを送信し、その応答を確認する方法があります。コマンドプロンプトまたはターミナルを開き、「thissitedoesnotexist12345.com」のように、本来は解決されないはずのドメインにpingを送信してください。

ping コマンドの実行結果がエラーメッセージではなく IP アドレスだった場合、DNS クエリが不正な DNS サーバーにリダイレクトされている可能性があります。

また、nslookup や dig コマンドを使用して特定のドメイン名を照会し、返された IP アドレスが想定される正当な IP アドレスと一致しているかを確認することもできます。

オンラインのDNSハイジャック検出ツールを利用する

オンラインツールを使えば、DNSが改ざんされていないかを素早く確認できます。

WhoIsMyDNS などのオンラインサービスを利用すれば、現在使用している DNS サーバーを確認し、それらが正当なものであるかどうかの確認が可能です。表示された DNS サーバーが、設定済みのプロバイダーやインターネットサービスプロバイダーのデフォルトサーバーと一致しない場合、システムが侵害されている可能性があります。

ルーターチェッカーを使用すれば、ルーターのDNS設定が変更されていないかを確認するのにも役立ちます。

PowerDMARCのドメイン監視ツールは、DNSレコードへの不正な変更を監視するのにも役立ち、ドメインのDNS設定に加えられた変更をリアルタイムで把握することができます。

DNSハイジャックを修正する方法

DNSが侵害されたことが確認された場合、被害を最小限に抑えるためには迅速な対応が不可欠です。侵害が発生した場所に応じて、DNSハイジャックを修正する方法を見ていきましょう。

お使いのデバイスでのローカルDNSハイジャックを修正する

マルウェアによってローカルのDNS設定が変更されている場合は、まずDNS設定を信頼できるプロバイダーのものにリセットしてください。

ローカルのDNS設定を、Google(8.8.8.8 および 8.8.4.4)やCloudflare(1.1.1.1)などの信頼できるパブリックDNSサーバーに変更することで、クエリが悪意のあるサーバーに転送されるのを即座に防ぐことができます。

次に、最新のウイルス対策ソフトやマルウェア対策ツールを使用してシステム全体のスキャンを実行し、この変更の原因となっているトロイの木馬やその他の悪意のあるソフトウェアを検出して削除してください。

スキャンが完了したら、ホストファイルを再度確認し、不正なエントリが残っていないことを確認してください。

ルーターのDNSハイジャックを修正する

ルーターのDNS設定が改ざんされている場合は、ルーターの管理画面にログインし、DNS設定を手動でリセットして、信頼できるお好みのDNSプロバイダーに設定し直してください。

次に、ルーターを保護するために以下の手順を実行してください:

  • ルーターの管理者パスワードを直ちに変更し、デフォルトのパスワードをすべて変更してください
  • 既知のファームウェアの脆弱性を修正するため、ルーターのファームウェアを最新バージョンに更新してください
  • 必要がない場合は、リモート管理を無効にしてください
  • すべての変更を行った後、ルーターを再起動してください

ルーターのセキュリティ対策が完了したら、ネットワークに接続されているすべてのデバイスを再起動し、攻撃者のDNSサーバーを指し続けている可能性のあるキャッシュされたDNSデータを消去してください。

ドメインまたはサーバーレベルでDNSハイジャックを修正する

ドメインのDNSレコードが不正に改変された場合は、直ちにドメイン登録業者に連絡し、不正アクセスを報告するとともに、不正な変更の取り消しを依頼してください。

コントロールを取り戻したら、再発を防ぐために以下の手順を行ってください:

  • ドメインのアカウントに対してレジストリロックまたはクライアントロックを有効にし、DNSレコードへの不正な変更から保護してください
  • レジストラアカウントおよびDNS管理ポータルに関連するすべてのパスワードを変更してください
  • アカウントへのアクセスで二段階認証を有効にする
  • すべてのDNSレコードを徹底的に確認し、不正な変更が追加されていないことを確認してください
  • アクセスログを調査し、攻撃者がどのように侵入したかを特定する

PowerDMARCをご利用の組織にとって、同プラットフォームの DNSレコードの監視 およびアラート機能を活用することで、レコードへの不正な変更を迅速に検知することができます。

DNSキャッシュをクリアしてください

ハイジャックが発生した場所にかかわらず、デバイスのDNSキャッシュをクリアすることで、古いレコードや改ざんされたレコードが削除され、修正されたDNS設定に基づいて最新の照会が行われるようになります。

  • Windowsでは、次のコマンドを実行します:ipconfig /flushdns
  • macOS では、次のコマンドを実行してください:sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
  • Linux では、次のコマンドを実行します:sudo systemd-resolve –flush-caches

キャッシュを消去した後、ブラウザを再起動し、ウェブサイトが正しいサーバーから読み込まれていることを確認してください。

DNSハイジャック攻撃を防ぐ方法

DNSハイジャックが発生した後の対処も重要ですが、そもそも発生を防ぐことの方がはるかに効果的です。強力な予防策とは、デバイスレベルからドメイン登録業者に至るまで、DNS解決プロセスのあらゆる層に対処するものです。

DNSSECに対応した信頼できるDNSプロバイダーを利用してください

Google Public DNSやCloudflareなどの信頼できるDNSサービスを利用することで、DNSSECや暗号化といったセキュリティ機能がサポートされます。

DNSSEC(ドメインネームシステムセキュリティ拡張)は、DNSレコードにデジタル署名を付与してその真正性を確認し、攻撃者が解決プロセスに偽のDNSレコードを混入させるのを防ぎます。

DNS 検索の信頼性を確保するために、DNSSEC に対応したレジストラを利用してください。これにより、デバイスが受信する DNS 応答が、転送中に改ざんされていないことが保証されます。

ルーターのセキュリティ対策を講じましょう

ルーターはネットワーク全体の玄関口であり、ルーターが侵害されると、接続されているすべてのデバイスが危険にさらされます。DNSハイジャックからルーターを守るために、以下の手順に従ってください:

  • 設定完了後、直ちにルーターのデフォルト認証情報を変更してください。デフォルトのパスワードは広く知られており、悪用されやすいためです。
  • 既知のセキュリティ上の脆弱性を修正するため、ルーターのファームウェアを定期的に更新してください
  • 特に必要がない限り、リモート管理を無効にしてください
  • ルーターのパスワードは、強固で他と重複しない組み合わせのものに定期的に変更してください
  • ルーターのDNS設定が変更されていないか、定期的に確認してください

強固なパスワード管理とアクセス制御を実施する

DNSインフラに関連するすべてのアカウントにおいて、複雑なパスワードを設定し、定期的に更新するなど、適切なパスワード管理を実践してください。これには、ドメイン登録業者、ルーターの管理画面、DNS管理ポータル、およびホスティングアカウントが含まれます。

その他のアクセス制御措置には、以下のものが含まれます:

  • すべてのDNS関連アカウントにおいて、アカウントへのアクセスに二要素認証を有効にする
  • DNS設定へのアクセスを、ITチームの信頼できる数名のメンバーに限定する
  • パスワードマネージャーを使用して、すべてのシステムで一意の認証情報を徹底する
  • チームメンバーが退職したり役職が変わったりした際、直ちにアクセス権を無効にする

おすすめ記事: AIからパスワードを守る方法

ウイルス対策ソフトとマルウェア対策ソフトをインストールする

ウイルス対策ソフトをインストールすることで、ローカルのDNS設定を変更する可能性のあるマルウェアを検出するのに役立ちます。

マルウェア対策ソフトウェアを使用して、ログイン情報やDNS設定を狙うトロイの木馬やその他の悪意のあるソフトウェアからシステムを保護してください。

すべてのセキュリティソフトウェアを最新の状態に保ち、自動スキャンが有効になっていることを確認してください。ユーザーのコンピュータ上のマルウェアを早期に検知することで、攻撃者が実質的なアクセス権を得る前に、ローカルDNSハイジャックを阻止することができます。

デジタル上の足跡を最小限に抑え、情報漏洩のリスクを減らす

攻撃者があなたのDNSインフラに関する情報を入手すればするほど、攻撃を計画しやすくなります。以下の対策により、攻撃のリスクを軽減してください:

  • DNSソフトウェアとサーバーの設定を常に最新の状態に保つ
  • 社内DNSインフラの詳細が外部に漏れるのを防ぐ
  • DNSファイアウォールを使用して、悪意のあるDNSクエリをフィルタリングし、既知の有害なウェブサイトへのアクセスをブロックする
  • DNSデータやレジストラアカウントへのアクセス権限を持つサードパーティを定期的に監査する

デジタルフットプリントチェッカーなどのツールも、攻撃者が標的型攻撃を計画する際に悪用しうる、漏洩した個人情報や組織データを特定するのに役立ちます。

DNSハイジャック復旧チェックリスト

DNSに問題が発生すると、まるで足元のインターネットの土台が突然引き抜かれたような気分になるものです。DNSハイジャックの疑いがある場合、明確な対応策を立てておくことが極めて重要です。

このチェックリストでは、状況を掌握し、被害を最小限に抑え、サイトを迅速に正常な状態に戻すための重要な手順を順を追って説明します。

直ちに行うべき対応(0~2時間)

☐ ハイジャック事件を確認する

☐ ドメイン登録業者に問い合わせる

☐ 影響を受けたシステムを隔離する

☐ 証拠書類

☐ インシデント対応チームに通知する

短期的な回復(2~24時間)

☐ ドメインの管理権限を取り戻す

☐ DNSレコードを復元する

☐ ドメインロックを有効にする

☐ DNSSECを導入する

☐ 関係者に通知する

長期的な回復(1~30日)

☐ 監視機能の強化

☐ セキュリティ評価

☐ 更新手順

☐ スタッフ研修

☐ コンプライアンス報告

PowerDMARCでドメインをDNSハイジャックから保護しましょう

DNSハイジャックは、目に見える警告が一切ないまま、トラフィックを密かにリダイレクトしたり、メールを傍受したり、顧客のセキュリティを侵害したりする可能性があります。こうした攻撃を検知・防止するには、ドメインのDNS設定やメール認証の設定を常に注意深く監視する必要があります。

PowerDMARCは、そうした可視性を提供します。当社は、DNSの異常に関する業界初の予測型脅威インテリジェンスを提供しており、世界中のフォーチュン500企業や政府機関から信頼を得ています。当社のプラットフォームはSOC2およびISO 27001の認証を取得しており、10,000を超える組織が、ドメイン保護のために当社のリアルタイム監視および対策機能を活用しています。

DNSハイジャック攻撃によって防御体制の脆弱性が露呈するのを待ってはいけません。 今すぐ 今すぐ

よくあるご質問

1. DNSスプーフィングとDNSハイジャックの違いは何ですか?

DNSハイジャックは、DNSレコードやインフラを乗っ取ってトラフィックを転送する行為を指す。一方、DNSスプーフィングは通常、クエリに対して偽のDNS応答を提供することを意味する。ハイジャックはより永続的で管理者権限を必要とするのに対し、スプーフィングは一時的であり、DNS解決プロセスの脆弱性を悪用する可能性がある。

2. DNSハイジャックを確認するにはどうすればよいですか?

オンラインのDNS検索ツールを使用して、複数のリゾルバーからのDNS応答を比較することで、DNSハイジャックの有無を確認できます。また、ドメインのWHOISレコードを監視して不正な変更がないか確認したり、PowerDMARCのDNS監視ツールを使用して異常をリアルタイムで検知したりすることも可能です。

3. DNSのトリックとは何ですか?

「DNSトリック」とは、キャッシュポイズニング、レスポンスのなりすまし、あるいはDNSリゾルバーの脆弱性の悪用など、DNSの応答を操作するために用いられるさまざまな手法を指すことがよくあります。これらの手法は、DNSハイジャック攻撃において、ユーザーの知らないうちに悪意のあるWebサイトへリダイレクトするために一般的に利用されています。

4. DNSハイジャックが発生した後、変更が反映されるまでどのくらいかかりますか?

DNSの伝播には通常、世界中で24~48時間かかりますが、TTL値やリゾルバーのキャッシュポリシーによって変動します。ハイジャック被害からの復旧時には、主要なDNSプロバイダーに連絡し、キャッシュをフラッシュして復旧を早める必要がある場合があります。

5. DNSSECはあらゆる種類のDNSハイジャックを防ぐことができますか?

DNSSECは、DNSスプーフィングやキャッシュポイズニングの防止に役立ちますが、レジストラアカウントの乗っ取りやルーターレベルでの攻撃など、すべてのハイジャック手法から保護できるわけではありません。これは重要なセキュリティ対策の一つですが、ドメインロックやレジストラの適切な運用といった他の保護策と組み合わせて利用する必要があります。

6. ドメイン登録業者のアカウントが不正アクセスを受けた場合はどうすればよいですか?

直ちにレジストラの緊急サポート窓口に連絡し、アカウントのロックを依頼するとともに、すべてのアカウント認証情報を変更し、二要素認証を有効にし、最近の変更内容をすべて確認してください。また、必要に応じて、よりセキュリティの高いレジストラへの移行を検討してください。将来的な法的措置や保険請求に備え、行ったすべての対応を記録しておいてください。

CTA