DNSスプーフィングとは

DNSスプーフィングとは?DNSスプーフィングとは、企業を詐称するためによく使われる攻撃手法のことです。DNSは、それ自体、決して安全ではありません。1980年代に設計されたため、インターネットがまだ珍奇なものであった頃は、セキュリティは最重要課題ではありませんでした。このため、悪質な行為者は時間をかけてこの問題を利用し、DNSスプーフィングなど、DNSを利用した高度な攻撃を開発するようになったのです。

DNSスプーフィング定義

DNSスプーフィングとは、WebブラウザーのWebサイトへのリクエストを乗っ取り、代わりにユーザーを別のWebサイトに誘導するために使用される技術です。これは、DNSサーバーのIPアドレスを変更するか、ドメインネームサーバー自体のIPアドレスを変更することによって行われます。

DNSスプーフィングとは、本物に見せかけた偽のWebサイトを訪問させるフィッシング詐欺でよく利用される手法です。これらの偽サイトは、クレジットカード番号や社会保障番号などの個人情報を要求し、犯罪者が個人情報の盗難に使用することがあります。

DNSスプーフィング攻撃とは?

DNSスプーフィング攻撃とは、攻撃者がDNSサーバーになりすまし、DNSクエリーに対して、正規のサーバーが送信するものとは異なる回答を送信することです。

攻撃者は、被害者からの問い合わせに対して、ホストのIPアドレスなど、虚偽の情報を含む任意の回答を送ることができる。これを利用して、ユーザーを他のウェブサイトに見せかけたウェブサイトに誘導したり、ネットワーク上のサービスに関する偽の情報を伝えたりすることができる。

簡単に言うと、攻撃者がユーザーを騙して、知らないうちに有害なウェブサイトを訪問させてしまうことです。DNSスプーフィングとは、ユーザーに返されるDNSレコードを改ざんし、悪意のあるウェブサイトにリダイレクトさせようとする行為を指します。

など、さまざまな悪意のある目的に使用することができます。

  • マルウェア、ランサムウェア、フィッシング詐欺の配布
  • ユーザー情報の取得
  • 他の種類のサイバー犯罪を助長すること。

DNSスプーフィングとはどのような仕組みなのか?

DNSサーバーは、ドメイン名をIPアドレスに変換して、人々がウェブサイトに接続できるようにします。ハッカーがユーザーを悪意のあるサイトに送ろうとする場合、まずDNSの設定を変更する必要があります。これは、システムの弱点を突いたり、ハッカーが有効な組み合わせを見つけるまで何千通りもの組み合わせを試すブルートフォース攻撃によって行うことができます。

ステップ1:リコン

攻撃を成功させるための最初のステップは、ターゲットに関する情報をできるだけ多く見つけ出す「偵察」です。ハッカーは、企業のビジネスモデル、従業員のネットワーク構造、セキュリティポリシーなどを研究し、どのような情報を求め、どのようにそれを得ることができるかを知ることになります。

ステップ2:アクセス

ターゲットに関する十分な情報を集めたら、脆弱性を突いたり、ブルートフォース(総当り)方式でシステムへのアクセスを試みます。アクセスした後は、システムにマルウェアをインストールし、トラフィックを監視して機密データを抽出することもあります。攻撃者は、正規のコンピュータからのパケットと偽ってパケットを送信し、どこか別の場所から送信されているように見せかけることができます。

ステップ3「攻撃

ネームサーバーはこれらのパケットを受信すると、キャッシュに保存し、次回誰かがこの情報を問い合わせたときに使用する。正規のユーザーが正規のウェブサイトにアクセスしようとすると、代わりに不正なサイトにリダイレクトされる。

DNSスプーフィング手法

攻撃者がこれを実行する方法はいくつかありますが、いずれもユーザーのコンピューターを騙して、別のDNSサーバーを使用させることに依存しています。これにより、攻撃者はリクエストをハイジャックして、好きなウェブサイトに送ることができるようになります。

1.マンインザミドル攻撃

最も一般的なDNSスプーフィング攻撃は、MITM(man-in-the-middle)攻撃と呼ばれています。攻撃者は、2つのSMTPサーバー間の電子メール通信を傍受し、このタイプの攻撃では、お客様のインターネットトラフィックをすべて読み取ります。次に、攻撃者は、ドメイン名解決のためのお客様のリクエストを傍受し、実際のネットワークではなく、彼らのネットワークを介して送信します。彼らは任意のIPアドレスで応答することができます - フィッシングサイトに属しているものであっても。

2.DNSキャッシュポイズニング

攻撃者は、ネットワーク上のボットネットまたは侵害されたデバイスを使用して、DNSクエリに誤った応答を送信し、不正確な情報でローカルキャッシュを汚染します。これは、ドメインネームシステム(DNS)のハイジャックや中間者攻撃に利用される可能性があります。

3.DNSハイジャック

攻撃者は、ドメイン名に対する権威あるネームサーバーであるかのように見えるように、自分のIPアドレスを変更します。そして、このドメインに関する情報を要求するクライアントに対して、偽造したDNSレスポンスを送信し、パブリックDNSサーバーを正しく使用する代わりに、攻撃者がコントロールするIPに向かわせることができるのです。この攻撃は、ルーターやファイアウォールにセキュリティ対策を施していないお客様に対して最もよく行われます。

DNSスプーフィングを防ぐには?

DNSスプーフィング検出機構の実装

この問題に対する解決策の一つとして、DNSSECが提案されている。DNSSECはDNSの拡張機能で、レコードの認証と整合性を提供し、DNSサーバーから非認証データを提供するものです。これは、応答が送信中に改ざんされないことを保証する。また、クライアントとサーバー間のデータトラフィックの機密性を提供し、有効な認証情報を持つものだけが復号化できるようにします。

徹底したDNSトラフィックのフィルタリングを行う

DNSトラフィックフィルタリングは、ネットワーク上のすべての受信および送信トラフィックを検査するプロセスです。これにより、ネットワーク上で発生する疑わしい活動をブロックすることができます。この機能を提供するファイアウォールや他のセキュリティソフトウェアを使用することで実現できます。

DNSサーバーへの定期的なパッチの適用

オペレーティングシステム、アプリケーション、データベースに定期的にセキュリティアップデートを適用する。

仮想プライベートネットワーク(VPN)を利用する

HTTPS接続にアクセスできない場合は、VPNを使用してください。VPNは、あなたのコンピュータと、あなたがアクセスしているウェブサイトやサービスとの間に暗号化されたトンネルを作成します。なぜなら、双方向のトラフィックを暗号化し、あなたがアクセスしているウェブサイトや送受信しているデータをISPが見るのを防ぐことができるからです。

ファイアウォールの使用

インターネットに接続するすべてのシステムに、ファイアウォールを設置する。ファイアウォールは、ネットワーク管理者によって明示的に許可されていないすべての着信接続をブロックします。

メール認証プロトコルの使用

を使用することができます。 MTA-STSを使用してDNSスプーフィングを軽減することができます。HTTPSでダウンロードされたMTA-STSポリシーファイルに保存されたエントリは、DNSで照会されたMTAのMXレコードと比較されます。また、MTAはMTA-STSポリシーファイルをキャッシュするため、DNSスプーフィング攻撃の実行がより困難になります。

TLS-RPTを有効にして、受信者がSMTP TLSレポートをあなたのメールアドレスに送信できるようにすれば、配信の問題を監視して解決することができます。これにより、暗号化されていない接続の問題を常に把握することができます。 

DNSクエリのログと監視を有効にする

DNSクエリのログと監視を有効にし、DNSサーバーに行われた不正な変更を追跡できるようにします。

最後の言葉

DNSスプーフィングが行われると、ウェブサイトの訪問者と所有者の両方にとって非常に不便になります。攻撃者がDNSスプーフィング攻撃を行う主な動機は、個人的な利益またはマルウェアの送信のいずれかです。そのため、ウェブサイトの所有者として、最新のセキュリティ対策を採用した信頼できるDNSホスティングサービスを選択することが非常に重要です。

さらに、ウェブサイトを閲覧する側としては、「周囲に気を配る」必要があります。なぜなら、自分が期待していたウェブサイトと現在閲覧しているウェブサイトとの間に何らかの不一致があった場合、直ちにそのウェブサイトから離れ、正規のウェブサイトの所有者に注意を促すようにしなければならないからです。