DNSハイジャックとは?検出、防止、緩和
by
読書時間 6 分
DNSハイジャックとは、攻撃者がドメインネームシステム(DNS)のクエリを操作し、ユーザーを悪意のあるウェブサイトにリダイレクトさせるサイバー攻撃です。この手口により、フィッシング攻撃、個人情報の窃盗、マルウェアの配布が可能になります。DNSハイジャックの仕組みを理解し、セキュリティ対策を実施することで、個人や組織がこのような攻撃を防ぐことができます。
主なポイント
- DNSハイジャックは、DNSクエリを操作してユーザーを悪意のあるウェブサイトにリダイレクトさせ、データの盗難やセキュリティ侵害を引き起こす。
- 一般的な攻撃手法には、マルウェアの展開、ルーターのハイジャック、中間者攻撃などがあり、これらはすべてDNS応答を傍受して変更するように設計されている。
- DNSスプーフィングとDNSハイジャッキングは同じではなく、ハイジャッキングの方がより永続的かつ長期的な影響を及ぼす。
- 検出技術には、読み込みの遅いウェブサイトの監視、ルーターのDNS設定のチェック、オンラインDNSチェッカーやコマンドラインツールの使用などがある。
- 予防策としては、ルーターの保護、レジストリロックの使用、マルウェア対策ツールの導入、パスワードの強化などがある。
DNSハイジャックの仕組み
を使用します。 DNSは、ドメイン名をIPアドレスに変換し、ユーザーがウェブサイトにアクセスできるようにします。DNSハイジャック攻撃では、ハッカーはレコードを変更したり、デバイスに感染させたり、通信を傍受したりすることで、DNS設定を侵害します。この操作により、ユーザーは不正なサイトにリダイレクトされ、知らず知らずのうちに機密情報を共有することになります。
あなたのドメイン名がHelloWorld.comだとします。DNSハイジャック攻撃を受けると、誰かが指定したブラウザ(Chromeなど)にHelloWorld.comと入力しても、あなたのウェブサイトには誘導されなくなります。正規のサイトに誘導される代わりに、攻撃者の管理下にある悪意のあるサイトに誘導されます。このサイトにアクセスした人は、このサイトがあなたのあなたの このサイトにアクセスした人は、このサイトがあなたの正当なドメインであると思い込み(その名前が示しているのですから)、機密情報を入力し始めるかもしれません。その結果ユーザーのデータが盗まれ、あなたのドメインの評判が落ちる可能性があります。
DNSハイジャック攻撃の種類
DNSハイジャック攻撃には、主にローカルDNSハイジャック、ルーター経由のDNSハイジャック、MITM(中間者)ハイジャック攻撃、不正DNSサーバーの4種類がある。
1.ローカルDNSハイジャック
ローカルDNSハイジャック攻撃では、ハッカーが被害者のPCにトロイの木馬ソフトウェアをインストールします。その後、攻撃者はローカルDNS設定に変更を加えます。この変更の目的は、ターゲットとなる被害者を悪意のある危険なウェブサイトにリルートすることです。
2.中間者攻撃
MITMの間 中間者(MITM)ハッカーは中間者攻撃のテクニックを使うことがある。その目的は、DNSサーバーとそのユーザー間の通信を傍受し、操作することである。最後のステップは、詐欺的で潜在的に危険なウェブサイトにユーザーを誘導することです。
3.ルーターのDNSハイジャック
攻撃者がルーター経由のDNSハイジャックを使う場合、一部のルーターのファームウェアが脆弱であることを利用する。また、ルーターによっては、初期設定のパスワードを変更しないものもある。このようなセキュリティ・ギャップのために、ルーターはハッカーがDNS設定を変更する攻撃の犠牲になりやすい。
4.不正DNSサーバー
もう1つの一般的なDNSハイジャック攻撃のタイプは、不正なDNSサーバーです。この方法を使用する場合、ハッカーはDNSサーバーのDNSレコードを変更することに成功します。これにより、ハッカーはDNSリクエストを偽の潜在的に危険なウェブサイトに迂回させることができます。
DNSハイジャックの例
DNSハイジャック脅威の急増
最近の Cloudflareによる最近の記事は、Tripwire、FireEye、Mandiantといった大手サイバーセキュリティ企業を標的としたDNSハイジャック攻撃の急増を取り上げた。この攻撃は、政府機関、通信事業者、インターネット事業者など、さまざまな業界やセクターを標的としており、中東、ヨーロッパ、北アフリカ、北米に広がっています。
ウミガメのDNSハイジャック
2019年に シスコ・タロスが発見したは、DNSハイジャックの手口を用いて政府機関を標的にした大規模なサイバースパイ攻撃を発見した。この攻撃は、中東と北アフリカを拠点とする通信事業者、インターネットサービスプロバイダー、ドメインレジストラ、および外務省、情報機関、軍、エネルギー部門などの政府機関を含む40以上の組織を襲いました。
シッティングダックDNSハイジャック
新しい DNS攻撃として知られるシッティング・ダック「が2024年に発見された。この攻撃は、ドメイン・ネーム・システムの脆弱性を悪用し、登録されたドメインを乗っ取るというものである。この攻撃は、被害者自身のアカウントにアクセスすることなく、レジストラやDNSプロバイダーを通じて実行された。この大規模な攻撃により、100万以上の登録ドメインが危険にさらされ、乗っ取りの危険にさらされました。
DNSハイジャックとDNSポイズニングの違いとは?
DNSハイジャッキングは、DNSレコードを操作してユーザーをリダイレクトさせますが、DNSポイズニング(またはキャッシュポイズニング)は、悪意のあるデータをDNSキャッシュに注入し、一時的にユーザーを惑わせます。ハイジャッキングは永続的な傾向がありますが、ポイズニングはキャッシュ機構の悪用に依存します。
| DNSハイジャック | DNSポイズニング | |
|---|---|---|
| 攻撃方法 | DNSサーバー、ルーター、デバイスの設定を直接侵害する。 | 偽のDNS応答をリゾルバのキャッシュに挿入する。 |
| インパクト | 長期的な影響を及ぼす可能性がある。この種の攻撃は、ユーザーを悪意のあるウェブサイトにリダイレクトさせ、フィッシングやデータ盗難につながる。 | 効果は通常、一時的なものである。 |
| ターゲット | DNSサーバー、ルーター、エンドユーザーデバイス。 | DNSリゾルバとキャッシュ。 |
| 予防 | ルーターの保護、DNSSECの使用、DNS設定の監視。 | DNSSECを使用し、DNSキャッシュをクリアし、信頼できるリゾルバを使用する。 |
DNSハイジャック攻撃を検知する方法とは?
DNSハイジャックの兆候
- 予期せぬウェブサイトのリダイレクト:ウェブサイトのURLがリダイレクト先のウェブサイトと一致しない場合、DNSハイジャックの兆候である可能性があります。
- フィッシング・ログイン・ページ:不審なランディングページは、ログイン認証情報のような機密情報を要求してきます。
- 読み込みの遅いウェブページ:デザインが悪かったり、読み込みが遅いウェブページは、悪意のあるものや偽物の可能性があります。
- 予期せぬポップアップ広告:一見信頼できそうなウェブサイトを閲覧しているときに、予期せぬポップアップ広告に出くわすのは、DNSハイジャックの兆候かもしれません。
- マルウェア感染に関する警告:ウイルスのマルウェア感染に関する突然の警告は、詐欺的な恐怖を煽るサインかもしれない。
DNS設定をチェックし、DNSハイジャックをテストするツール
PowerDMARCの無料DNSレコードチェッカー
この無料ツールは、次のような電子メール認証DNSレコードをチェックします。 spf、dkim、dmarcMTA-STS、TLS-RPT、BIMIなどの電子メール認証DNSレコードと、その他のさまざまなDNSエントリをチェックします。DNSレコードの管理、メール認証設定の監視と自動化に最適です。
グーグル管理ツールボックス発掘
Google Admin Toolbox Digは、A、MX、CNAME、TXT、およびその他のレコードのDNSクエリを実行します。
このツールは、コマンドラインのdigツールと同様の方法で動作するが、ブラウザ上で動作し、GoogleのDNSサーバーから直接結果を取得する。
コマンドラインDNSツール
NSlookup、Dig、Host、WhoisのようないくつかのコマンドラインDNSツールは、ターミナルを必要とするが、DNS設定の詳細な洞察を提供する。これらのツールは、以下のようなさまざまなタスクに使用できる:
- DNSサーバーに問い合わせ、さまざまなレコードタイプを発見する
- 複数のメールサーバーのDNS解決を追跡する
- ドメイン名からIPアドレスへの解決
- ドメイン登録情報の取得
DNSハイジャックを防ぐには
ネームサーバーとリゾルバに対する緩和策
- ネットワーク上の不要なDNSリゾルバを無効にする。
- 多要素認証とファイアウォールでネームサーバーへのアクセスを制限する。
- キャッシュポイズニングを防ぐために、ソースポートとクエリーIDをランダムにする。
- 既知の脆弱性を定期的に更新し、パッチを当てる。
- 権威ネームサーバーとリゾルバを分離する。
- ゾーンの転送を制限し、不正な変更を防ぐ。
エンドユーザーへの影響緩和
- 不正アクセスを防ぐため、ルーターのデフォルトパスワードを変更する。
- アンチウイルスおよびアンチマルウェアソフトウェアをインストールし、脅威を検出する。
- ブラウジングの際は、暗号化されたVPN接続を使用する。
- Google Public DNS (8.8.8.8)やCisco OpenDNSなどの代替DNSサービスに切り替える。
サイト所有者のための緩和策
- 2要素認証でDNSレジストラアカウントを保護します。
- ドメインロック機能を活用し、不正なDNSの変更を防ぐ。
- DNS応答を認証するためにDNSSEC(Domain Name System Security Extensions)を有効にする。
- PowerDMARCを使用してDMARC、SPF、DKIMを実施し、ドメインのなりすましやフィッシングを防止します。
公衆Wi-Fi利用時にDNSハイジャックを避けるには?
- 安全でないWi-Fiネットワークへの接続は避ける。
- VPNを使ってインターネットトラフィックを暗号化する。
- 不明なネットワークへの自動接続を無効にする。
- 機密情報にアクセスする前に、DNSの設定を確認する。
DNSハイジャックを修正する方法
1.DNSハイジャックの兆候を特定する
そもそもDNSハイジャックの被害に遭っているかどうかを確認することが重要です。このステップでは、前のセクションで説明したDNSハイジャックの兆候を確認することができます。確認できたら、次のステップに進みます。
2.ルーターのDNS設定をリセットする
次のステップは、ルーターにログインし、通常「WAN」または「インターネット設定」の下にあるDNS設定を確認することです。DNSが見慣れないIPのプロバイダに設定されている場合は、ハイジャックを防ぐために、CloudflareやGoogle DNSのような安全なものにすぐに変更する必要があります。設定を変更したら、新しいDNS設定を保存し、ルーターを再起動する必要があります。
3.DNSSECを設定する
DNSSECは、すべてではありませんが、いくつかのタイプのDNSハイジャック攻撃に対する有効な防御策となります。このプロトコルはDNS応答を認証し、DNSスプーフィングを防ぐのに役立ちます。ただし、DNSSECはダイレクトDNSサーバーハイジャックを軽減できないため、適切な実装が必要であることに注意することが重要です。プロトコルを設定した後、PowerDMARCの DNSSECチェッカーを使用してレコードを確認してください。
4.悪意のあるソフトウェアとファイルを削除する
DNSを詐欺から守るために、マルウェアの検出と駆除に役立つアンチマルウェアを必ず使用してください。また、ブラウザの拡張機能や新しくインストールしたものを見直すのも良い方法です。DNS設定に変更を加えるような不審なものを見つけたら、速やかに削除しましょう。
5.DNSキャッシュをクリアする
DNSキャッシュをクリアすることは、DNSハイジャックを防ぐ上で重要です。なぜなら、デバイスに保存されている破損したDNSエントリや悪意のあるDNSエントリを削除するからです。
6.セキュリティ機能を有効にする
パスワードを変更して、ルーターのセキュリティ機能を有効にしてください。セキュリティを強化するためにファイアウォールを有効にし、ハッカーがルーターにリモートアクセスするのを防ぐためにリモート管理を無効にします。また、DoHやDoTなどの安全なDNSサービスがサポートされている場合は、それを使用することもできます。
7.将来の攻撃を監視・防止する
ルーターのDNS設定を定期的に見直し、監視することで、将来の攻撃を防止・検知することができます。PowerDMARCの 予測脅威インテリジェンス分析機能は、攻撃パターンと傾向を予測し、既存および将来のサイバー攻撃に対するアラートをトリガーする優れた監視ツールです。
まとめ
DNSハイジャックは、データの盗難、フィッシング、マルウェア感染につながる深刻なサイバーセキュリティの脅威です。DNS設定を監視し、安全なDNSサービスを利用し、セキュリティ対策を実施することで、このような攻撃の被害に遭うリスクを減らすことができます。
PowerDMARCのDMARC、SPF、DKIMのリアルタイム監視と実施により、ドメインのセキュリティを確保し、DNSの異常を検出して防止します。 DNSのセキュリティをチェック今すぐ
ドメインとメールセキュリティのエキスパートPowerDMARC
AhonaはPowerDMARCのマーケティングマネージャーで、サイバーセキュリティのトピックについて5年以上の執筆経験があり、ドメインと電子メールのセキュリティを専門としている。ジャーナリズムとコミュニケーションの卒業後学位を取得し、2019年からセキュリティ分野でキャリアを固めている。
最新記事 by Ahona Rudra(全て見る)
- QRフィッシングとは?QRコード詐欺の検知と防止方法- 2025年4月15日
- nslookup、dig、またはPowerShellを使用してSPFレコードを確認するには?- 4月 3, 2025
- OutlookがDMARCを実施:マイクロソフトの新しい送信者要件について説明します!- 2025年4月3日
