Data Driven Knowledgebase

produced by

  • Facebook
  • Twitter
  • Facebook
  • Twitter
  • 用語集
  • DNSキャッシュポイズニング徹底ガイド:仕組みから対策・最新動向まで
用語集
2025/09/30
SiNCE 編集部

DNSキャッシュポイズニング徹底ガイド:仕組みから対策・最新動向まで

DNSキャッシュポイズニングの基本的な仕組みや最新のカミンスキー型攻撃、SAD DNSなどの新技術から対策までをわかりやすく解説。統計・事例を用いた深掘りで、初心者にも専門家にも役立つ実践的な内容です。

SADDNSAIセキュリティDNSSECカミンスキー攻撃DNSキャッシュポイズニング

目次

はじめに

いまなぜ「毒入りDNS」が再び注目されるのか?


DNSのキャッシュは「速さ」と「負荷軽減」の要ですが、同時に偽情報を蓄える危険性も持ちます。この構造的欠陥を突く攻撃—DNSキャッシュポイズニング—は、十数年前から警鐘が鳴らされ続けています。特に、2008年に登場したカミンスキー型攻撃以降、IPv6時代/IoT時代を迎えた今、攻撃者の手法はより巧妙になっています。


DNSキャッシュポイズニングとは?(メカニズムと影響)

DNSキャッシュ・リゾルバとは?


クライアントがドメイン名をルート→TLD→権威サーバへと問い合わせを依頼する途中、迂回して情報をキャッシュするのがフルリゾルバです。キャッシュすることで応答が迅速になり、ネットワーク負荷も減るメリットがあります。


攻撃の仕組み:偽応答の挿入


攻撃者は、DNSサーバの問い合わせIDや要求ポートを推測、あるいは固定化されている環境を狙い、偽のDNS応答を大量に送り付けます。キャッシュサーバがこれを誤って保存してしまうと、それ以降正規ドメインへのアクセスが攻撃者管理下のIPへ誘導され続けます。


被害事例:フィッシング・マルウェア・ISP乗っ取り



  • 仮想銀行を演じた偽装サイトによるパスワード窃取(Pharming手法)

  • マルウェアやバナー広告の配信

  • ISPのキャッシュ汚染による大規模DoS状態


進化する攻撃手法:カミンスキー型 & SAD DNS

カミンスキー型攻撃(2008年)


カミンスキー研究者が発見した手法では、存在しない名前への問い合わせを発生させ、回答のIDとソースポートを総当たりすることで成功率を劇的に高めました。


SAD DNS(2020年代)


カリフォルニア大学などの研究により2020年以降に報告されたSAD DNSは、TCP/UDPセッション衝突を使い、ID予測以外の経路からPoisoningを成功させる進化型です。


攻撃例と最新統計:被害の現実レベル


  • 日本でも2014年に「DNS水責め攻撃」(大量NXDOMAINの誘発)によるインフラ停滞事例が報告されています。

  • 2017〜2021年にはNTT-CERTやISPにも多数検出され、監視体制の強化が進んでいます。

  • 学術的には、交差層攻撃(IP→DNS→BGP乗っ取り)も検証されており、DNSは今やインターネットセキュリティの根幹であるとされています。


対策の最前線

ソースポートランダマイゼーション


問い合わせ時のソースポートをランダム化し、攻撃の難易度を上げる手法。多くのDNSソフト(BIND9など)で標準実装されていますが、無効化されている環境も依然存在します。


DNSSEC導入の効果と普及率


電子署名により応答が本物か否かを検証するDNSSECは、理論上最強の防御。しかし、国内DNSゾーンでの導入は進んでおり、ルートゾーン・JPゾーンの署名は進んでいますが、フルリゾルバでの検証率はIPv4で約18%、IPv6で38%程度に留まるという調査もあります。


empty non‑terminal等の亜種も含めた総合対策


JPRSなどが指摘するように、ゾーン構造やempty non‑terminalを使った攻撃にもDNSSECとゾーン分離を組み合わせて対応する動きがあります。


国内導入事例と運用上の注意点


  • OCN/NTT は法人向け環境でのBIND設定例を公開し、特にオープンリゾルバやポートのランダム化を再確認するよう注意喚起しています。

  • JPRS はDNSSEC.jpを通じた検証と、ゾーン空間の構造見直し(親子分離)を進め、empty non-terminal攻撃への関心も高まっています


将来展望:AI活用と検証インフラの課題

AIやMLによる異常検知の導入


DNSトラフィックの異常パターンをリアルタイムで監視し、自動検出する技術が進化中です。これにより、ポイズニングの兆候を早期に捉えることが可能になります。


測定から現場へ:DNSSEC検証の普及強化


最新の研究では、IPv4では18%、IPv6でも38%しかDNSSEC検証が行われていません。今後はISPやCDN、企業内DNSでの採用拡大が喫緊の課題です。


まとめ:安全なDNS運用のために

DNSキャッシュポイズニングは、インターネットの根幹であるDNSの仕組みを悪用する深刻な攻撃です。ユーザーを偽サイトに誘導し、個人情報や企業データを盗むリスクがあるため、日常的な対策が欠かせません。


まずは、DNSソフトウェアでソースポートのランダム化が適切に設定されているか確認しましょう。これは、攻撃者による偽応答の一致を防ぐ基本的な防御策です。


次に、DNSSECの導入と検証の両方が重要です。DNS応答の正当性を検証できれば、キャッシュポイズニングの根本的な防止につながります。国内でもルートゾーンの署名は進んでいますが、検証を行うリゾルバ側の対応がまだ課題です。


加えて、ゾーン設計の見直しログの監視異常トラフィックの検知など、運用面での強化も不可欠です。最近ではAIによる自動検出技術も発展しており、今後はさらなる実用化が期待されています。


安全なDNS運用は、一つの対策だけでは不十分です。技術と運用の両面から多層的に守ることが、組織やユーザーを守る第一歩となります。


New call-to-action

あわせて読みたい