DNSサーバーとは?その仕組みと重要性

ブログ

DNS(Domain Name System)サーバーは、人間が読めるドメイン名をIPアドレスに変換することを可能にする、インターネットにおける重要なコンポーネントです。

byアホナ・ルドラ

最終更新日:
9 読了時間:約9分
DNSサーバーとは?その仕組みと重要性
目次-

主なポイント

  • DNSサーバーは、人間が読めるドメイン名をIPアドレスに変換し、インターネット上でのユーザーフレンドリーなナビゲーションを可能にする。
  • DNSサーバーは、クライアントからドメイン名の問い合わせを受け、対応するIPアドレスが見つかるまで、DNSサーバーの階層構造を通じて転送することで動作する。
  • DNSサーバーには、再帰サーバー、権威サーバー、キャッシュサーバー、フォワーディングサーバーなどさまざまなタイプがあり、それぞれがDNS解決プロセスにおいて特定の機能を果たしている。
  • DNSサーバーはウェブアクセスを簡素化するだけでなく、負荷分散、冗長性、ウェブサイトトラフィックのセキュリティを向上させる。
  • DNSサーバーがどのように動作するかを理解することは、インターネット接続の問題をトラブルシューティングし、オンラインパフォーマンスを最適化する上で非常に重要です。

ウェブサイトのアドレスを入力してEnterキーを押すたびに、ページが読み込まれるその一瞬の間に、ある処理が行われています。それは、目に見えず、意識することもなく、正常に機能していてもほとんど気づかない、静かな検索処理です。これがDNSサーバーの役割です。

この記事では、DNSサーバーの仕組み、それらが直面する脅威、そして特に電子メールシステムをなりすましや悪用から守る上で、なぜDNSサーバーがインターネットセキュリティの重要な層となるのかについて解説します。

DNSサーバーとは何ですか?

DNSサーバーは、長い数字のIPアドレスの代わりに、簡単なドメイン名を使ってウェブサイトにアクセスできるようにするものです。ブラウザにURLを入力すると、DNSサーバーがその名前を正しいIPアドレスに変換し、リクエストが正しい宛先に届くようにします。

よく「インターネットの電話帳」と表現されますが、その例えは事実の一部に過ぎません。正確に言えば、DNSとはドメイン名の解決を可能にする基盤となるシステムおよびプロトコルであり、一方、DNSサーバーとは、それを稼働させ、ユーザーの問い合わせに応答するインフラストラクチャのことです。

中核機能

DNSサーバーは、人間が理解しやすいドメイン名を、機械が読み取れるIPアドレスに変換します。例えば、あなたが「wikipedia.org」と入力すると、DNSサーバーは「208.80.154.224」を返します。その後、ブラウザはそのIPアドレスに接続してページを読み込みます。

この翻訳は、ウェブサイトにアクセスしたり、メールを送信したり、アプリを使用したりするたびに、バックグラウンドで自動的に行われます。

なぜIPアドレスを使わないのか?

技術的には可能ですが、以下の理由から現実的ではありません:

  • 142.250.190.46 のような複雑な IP アドレスを覚えるのは、google.com を覚えるよりもはるかに難しい。サイトごとに IP アドレスが異なるため、すべてを覚えることは事実上不可能です。
  • サーバーは、移行や入れ替えが行われたり、複数のマシン間で負荷分散されたりします。ドメイン名は変わらずに維持されますが、その背後にあるIPアドレスは裏側で変更されます。
  • 大規模なサイトでは、数十から数百ものIPアドレスが使われています。DNSは、利用者が気付かないうちに、最も近い、あるいは負荷の低いサーバーへ接続を誘導することができます。

DNSの解決の仕組み

ウェブサイトにアクセスしたり、メールを送信したりするたびに、バックグラウンドでDNS解決が行われています。瞬時に行われているように感じられますが、その裏には体系的なプロセスが存在しています。

大まかに言うと、そのプロセスは以下の通りです:

  • お使いのブラウザは、再帰的リゾルバにクエリを送信します
  • リゾルバーは、キャッシュに既存の回答があるかどうかを確認します
  • 見つからない場合は、ルートネームサーバーに問い合わせます
  • クエリは、該当するトップレベルドメイン(TLD)サーバー(.com、.orgなど)に送信されます。
  • TLDサーバーは、権威あるネームサーバーを指しています
  • 権威サーバーは正しいIPアドレスを返す
  • リゾルバーは、TTL(有効期限)に基づいてレスポンスをキャッシュします
  • お使いのブラウザが宛先サーバーに接続します

ここでキャッシュが重要な役割を果たします。DNS応答がすでに保存されている場合、処理ははるかに高速になりますが、そうでない場合は完全な検索チェーンが実行されます。このシステムは効率的ですが、同時に、問題が発生したり、操作されたりする可能性のある箇所も生み出しています。

当社の無料DNS検索ツールを使えば、ドメインのDNS解決状況をリアルタイムで確認できます。

DNSサーバーの4つの主要な種類

DNSサーバーの4つの主な種類

DNSを正しく理解するには、さまざまな種類のDNSサーバーが果たす役割を知っておくと役立ちます:

再帰的リゾルバ

再帰的リゾルバは、クエリの最初の通過点となります。これは、お使いのデバイスとDNSシステムの残りの部分との間の仲介層として機能します。

ルートネームサーバー

これらのサーバーは、DNS階層の最上位に位置しています。これらは、クエリを適切なトップレベルドメインサーバーへと転送します。

TLDネームサーバー

TLDネームサーバーは、.com、.net、.org などのドメイン拡張子を管理し、クエリを適切な権威サーバーへと誘導します。

権威あるネームサーバー

これらが最終的な答えとなります。権限を持つネームサーバーには、Aレコード、MXレコード、TXTレコードなど、ドメインのDNSレコードが保存されています。電子メールやセキュリティの面では、認証レコードが保存されているため、権限を持つネームサーバーが特に重要となります。

DNSセキュリティの脅威:DNSサーバーが攻撃対象となる理由

DNSは当初、強固なセキュリティを念頭に置いて設計されたものではありませんでした。その結果、攻撃者から頻繁に標的とされるようになりました。最も一般的なDNS攻撃には、次のようなものがあります:

DNSスプーフィング(キャッシュポイズニング)

DNSスプーフィング(キャッシュポイズニング)-
DNSスプーフィング これは、攻撃者がリゾルバーのキャッシュに偽のDNS情報を書き込むセキュリティ上の脅威です。これにより、ユーザーは知らぬ間に悪意のあるWebサイトに誘導される可能性があります。

仕組み:

ブラウザに「yourbank.com」のようなURLを入力すると、コンピュータはDNSサーバーにその名前をIPアドレス(サーバーの実際の数値アドレス)に変換するよう要求します。DNSスプーフィングとは、攻撃者がDNSの検索プロセスに偽の情報を混入させることを指します。これにより、DNSサーバーは正しいIPアドレスではなく、悪意のあるサーバーのIPアドレスを返すことになります。 その結果、ブラウザは攻撃者のサイトに接続してしまいますが、多くの場合、何かがおかしいという明らかな兆候は現れません。

DNSスプーフィングのリスク:

  • 攻撃者は、銀行のウェブサイトやメールのログイン画面、その他のサービスの偽サイトを巧妙に作成し、認証情報や個人データを盗み出すことがあります。
  • また、これを利用してマルウェアを拡散させたり、通信内容を検閲・監視したりすることも可能です。ブラウザ上のURLは一見正常に見えるため、被害者は自分がリダイレクトされたことに気づかないことがよくあります。

DNSハイジャック

DNSハイジャック-

DNSハイジャックでは、攻撃者がDNSの設定やレコードを乗っ取ります。これにより、トラフィックを迂回させたり、通信を傍受したり、電子メールなどのサービスを操作したりすることが可能になります。

仕組み:

DNSハイジャックが発生する一般的な方法はいくつかあります:

  • ローカルハイジャックでは、デバイス上のマルウェアがシステムのDNS設定を変更し、不正なサーバーを指すようにします。
  • ルーターハイジャックでは、攻撃者はルーターの脆弱な認証情報やデフォルトの認証情報を悪用して、自宅やオフィスのルーターのDNS設定を変更し、その結果、ネットワーク上のすべてのデバイスに影響を及ぼします。
  • 中間者攻撃では、攻撃者がユーザーと正規のDNSサーバー間のDNS通信を傍受し、転送中に応答内容を改ざんします。
  • 不正なDNSサーバー攻撃では、攻撃者はインターネットサービスプロバイダー(ISP)や組織内の実際のDNSサーバーを乗っ取り、一度に膨大な数のユーザーに影響を及ぼす可能性があります。

DNSハイジャックのリスク:

  • 偽のログインページを利用した認証情報の盗用、マルウェアの配布、広告の挿入、または監視。
  • ユーザーがドメイン名を誤って入力した際に、広告ページや検索ページへリダイレクトしたり、特定のサイトへのアクセスをブロックしたりすること。

DNS増幅攻撃

DNS増幅攻撃-

DNS増幅攻撃は、分散型サービス拒否(DDoS)攻撃において用いられ、攻撃者はDNSクエリの応答を悪用してシステムを機能不全に陥らせます。

仕組み:

攻撃者は、一般に公開されているDNSリゾルバーにDNSクエリを送信しますが、そのクエリの発信元IPアドレスを偽装し、あたかも被害者のIPアドレスから送信されたかのように見せかけます。DNSサーバーは、被害者がクエリを送信したと誤認し、攻撃者ではなく被害者に応答を送信します。

大規模な応答を生成するクエリタイプ(ANYクエリやDNSSEC関連レコードなど)を選択することで、攻撃者は約60バイトの小さなリクエストを数千バイト規模の応答に変えることができます。この増幅率は50倍以上に達することもあり、つまり、限られた帯域幅しか持たない攻撃者であっても、被害者に対してその何倍もの規模のトラフィックを氾濫させることが可能になります。

DNS増幅攻撃のリスク:

  • サービスの停止
  • 事業収益の減少
  • 評判への悪影響

DNSSECがDNSの完全性を保護する仕組み

DNSSEC(ドメインネームシステムセキュリティ拡張)は、DNS応答に検証の層を追加するものです。DNSSECは、DNS応答を無条件に信頼するのではなく、その応答が真正であり、転送中に改ざんされていないことを保証します。これは暗号署名を用いて行われます。以下に、DNSSECがDNSの完全性をどのように保護するかを説明します:

1. DNSスプーフィングの防止:攻撃者は、偽のDNS応答を送り込もうとすることがよくあります。DNSSECを使用すれば、偽の応答には有効な署名が含まれないため、リゾルバーはそれらを破棄します。

2. データが改ざんされていないことを保証します:DNSSECは、受け取ったIPアドレスがドメイン所有者が公開したものと完全に一致し、転送中に誰にも改ざんされていないことを保証します。

3. データの出所を認証する:DNSSECは、応答が実際にそのドメインの権威DNSサーバーから送信されたものであり、権威DNSサーバーを装った攻撃者からのものではないことを確認します。

4. 信頼の連鎖を構築する:DNSSECは、ルートゾーン → TLD(.com、.org) → ドメインという階層構造を通じて機能し、各レベルが暗号鍵を用いて次のレベルを検証します。いずれかのリンクに不具合が生じると、検証は失敗します

弊社の無料DNSSECチェッカーツールを使用して、DNSSECの設定を確認することができます。

DNSSECに加え、DNS over HTTPS(DoH)やDNS overTLS(DoT)といった新しいプロトコルも、DNSクエリが傍受されるのを防ぐのに役立ちます。

  • DoHはHTTPS(安全なWeb通信に使用されるのと同じプロトコル)経由でDNSクエリを送信するため、通常のブラウジングとの見分けがつきにくくなり、ネットワークフィルタリングを回避しやすくなります。
  • DoTは、専用の暗号化されたTLS接続(通常はポート853)を介してDNSクエリを送信し、通常のWebトラフィックとの明確な分離により、強力なプライバシー保護を実現します。

これらの技術はセキュリティを向上させるものの、必ずしも広く導入されているわけではありません。そのため、攻撃者が依然として悪用できる脆弱性が残されています。

DNSと電子メール認証:直接接続

DNSは電子メールの認証において中心的な役割を果たしています。(権威あるDNSサーバーに公開されている)DNSレコードがなければ、現代の電子メールセキュリティ基準は機能しません。

以下の3つの主要なプロトコルは、完全にDNSに依存しています:

  • Sender Policy Framework(SPF)レコードは、どのサーバーがドメインを代表してメールを送信することを許可されているかを指定します
  • DomainKeys Identified Mail(DKIM)レコードは、電子メールの署名を検証するために使用される公開鍵を公開します
  • ドメインベースのメッセージ認証・報告・準拠(DMARC)レコードは、受信サーバーが認証に失敗した場合の処理方法を定義する

これらはすべて、権限を持つネームサーバーにDNSレコードとして保存されます。これにより、重要な依存関係が生じます。DNSの設定に誤りがあったり、侵害されたりすると、メール認証が完全に機能しなくなる可能性があります。

たとえば、攻撃者があなたのDNSにアクセス権を得た場合:

  • 彼らはSPFレコードを改ざんして、悪意のある送信者を承認することができる
  • DKIMキーを置き換えることができます
  • DMARCポリシーを弱体化させたり無効にしたりする可能性があります

これら3つの主要なプロトコルに加え、Mail Transfer Agent Strict Transport Security(MTA-STS)、Transport Layer Security Reporting(TLS-RPT)、Brand Indicators for Message IdentificationBIMI)といった追加の標準も、DNSレコードを通じて実装されています。

トラブルシューティング:DNSサーバーが応答しない

ユーザーが直面するDNS関連の問題の中で最も一般的なものの1つが、「DNSサーバーが応答しません」というエラーです。このエラーは、デバイスがDNSクエリを正常に送信したものの、所定の時間内にDNSサーバーからの応答が得られなかったことを意味します。この応答がないと、ブラウザはgoogle.comのようなドメイン名をIPアドレスに変換できないため、接続に失敗し、サイトへアクセスできなくなります。これは、インターネット接続そのものが基本的なレベルでは機能している場合でも起こり得ます。

この問題は、以下の原因で発生する可能性があります:

  • ネットワーク接続の問題
  • DNS設定の誤り
  • ルーターまたはISPの問題
  • ファイアウォールやウイルス対策ソフトによる干渉
  • 一時的なDNSサーバーの停止

ほとんどの場合、いくつかの基本的な手順で解決できます:

手順 1:ルーターと端末を再起動してください

ルーターとモデムの電源ケーブルを抜き、30秒ほど待ちます。その後、まずモデムの電源を入れ、続いてルーターのケーブルを接続し、さらに1~2分ほど待ってからデバイスを再起動してください。

手順 2:DNS キャッシュをクリアする

お使いのデバイスは、処理を高速化するためにDNS検索の結果をローカルキャッシュとして保存しています。そのキャッシュに古い情報や破損したエントリが含まれている場合、デバイスはもはや接続できないサーバーへの接続を試み続ける可能性があります。

Windows 10 または 11 の場合:

  1. Windows キーを押して「cmd」と入力し、「コマンド プロンプト」を右クリックして、「管理者として実行」を選択します。
  2. 表示される黒いウィンドウに「ipconfig /flushdns」と入力し、Enterキーを押します。
  3. 「DNSリゾルバーキャッシュのクリアに成功しました」という確認メッセージが表示されるはずです。

macOSの場合:

  1. ターミナルを開きます(Cmd + Space キーを押し、「Terminal」と入力して、Enter キーを押します)。
  2. 「sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder」と入力し、Enter キーを押します。
  3. プロンプトが表示されたら、管理者パスワードを入力してください

各オペレーティングシステムごとに、DNSのフラッシュ方法を詳しく解説します。

ステップ3:パブリックDNSプロバイダーに切り替える

ご利用のISPのDNSサーバーは、多くの場合、速度が遅く、信頼性が低く、フィルタリングやログ記録が行われることもあります。一方、CloudflareやGoogleなどのパブリックDNSプロバイダーは、高速かつ正確なDNS解決のために特別に最適化された、大規模なグローバルネットワークを運用しています。

推奨されるサーバーは、Cloudflare:1.1.1.1(プライマリ)および 1.0.0.1(セカンダリ)、またはGoogle:8.8.8.8(プライマリ)および 8.8.4.4(セカンダリ)です。

手順 4:ネットワークアダプタの設定を確認する

アダプタ自体の設定が不適切だったり、ドライバが古かったり、プロトコルスタックが破損している場合があります。アクティブな接続を確認し、その接続を解除してから再度接続し直して、問題が解決するかどうか確認してください。

手順 5:競合するセキュリティソフトを一時的に無効にする

ウイルス対策スイート、ファイアウォール、および仮想プライベートネットワーク(VPN)には、独自のDNSフィルタリング機能や傍受機能が組み込まれていることがよくあります。これらが正常に動作しない場合、正当なDNS応答が知らぬ間にブロックされてしまうことがあります。

  • VPNクライアントの接続を切断してください
  • サードパーティ製ウイルス対策ソフトの一時停止保護
  • 現在使用中のネットワークのファイアウォールを一時的に無効にし、テストを行った後、直ちに有効に戻してください。
  • 特に必要がない限り、手動プロキシが有効になっていないことを確認してください。

重要な注意点:これらのツールのいずれかを無効にすることで問題が解決した場合、原因はソフトウェアそのものではなく、その設定にあります。セキュリティツールを無効にしたままにしておくべきではありません。代わりに、問題を引き起こしているツールの設定を見直してください(多くの場合、設定でDNSサーバーを許可するように変更します)。または、そのツールのサポートに連絡してください。

まとめ:なぜこれが貴社にとって重要なのか

信頼性の高いDNSサーバーは、安全なメールプログラムの基盤となります。メールに依存している組織にとって、適切なDNSサーバーの選択はさらに重要となります。

不適切なDNSサーバーの設定は、メールのなりすましやフィッシング攻撃、ドメインの信頼性の低下、配信失敗、さらには評判の失墜につながる恐れがあります。適切なSPF、DKIM、DMARCの設定と併せて、強固なDNS基盤を構築することは、ユーザーとブランドの両方を保護するために不可欠です。

無料のドメインアナライザーツールを使用してドメインのDNSレコードを確認し、メール認証プロトコルが正しく設定されているかを確認してください。

よくあるご質問

DNSサーバーはどのような役割を果たすのでしょうか?

DNSサーバーは、人間が読みやすいドメイン名をIPアドレスに変換し、ブラウザがWebサイトを見つけて読み込めるようにします。

DNSサーバーとDNSレコードの違いは何ですか?

DNSサーバーとは、クエリを保存し、それに対して応答するシステムのことであり、DNSレコードとは、ドメインの解決方法や処理方法を定義する個別のエントリ(AレコードやMXレコードなど)のことです。

どのDNSサーバーを使うのが一番いいですか?

最適なDNSサーバーは用途によって異なりますが、速度、セキュリティ、世界的な利用可能性の点で、Google Public DNSやCloudflareなどが人気があり、信頼性の高い選択肢として挙げられます。

最新記事 by Ahona Rudra(全て見る)
最終更新日:
DMARCを設定するには?DMARCの設定方法ゼロデイ脆弱性を理解するゼロデイ脆弱性を理解する。ゼロデイ脆弱性とは何か、どのような脅威なのか...