DNSハイジャックの概念図

DNSハイジャックの概要と検出・防止・緩和策

深刻なサイバー脅威「DNSハイジャック」から、あなたのドメインとユーザーを守る!

2025年2月19日
著者: Ahona Rudra
翻訳: 古川 綾乃

この記事はPowerDMARCのブログ記事 What is DNS Hijacking: Detection, Prevention, and Mitigation の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

DNSハイジャックとは、攻撃者がドメインネームシステム(DNS)のクエリを改竄し、ユーザーの意図に反して悪意のあるWebサイトへ誘導するサイバー攻撃です。
この手法により、フィッシング攻撃や個人情報の窃取、マルウェアの配布などが行われる可能性があります。
DNSハイジャックの仕組みを理解し、適切なセキュリティ対策を講じることで、個人や組織はこうした攻撃のリスクを低減できます。

主なポイント

  1. DNSハイジャックは、DNSクエリを改竄してユーザーを悪意のあるWebサイトへ誘導し、データの窃取やセキュリティ侵害を引き起こします。
  2. 一般的な攻撃手法には、マルウェアの感染、ルータのハイジャック、DNS応答を傍受・改竄する中間者攻撃などがあります。
  3. DNSスプーフィングとDNSハイジャックは同一ではなく、DNSハイジャックの方がより長期的な影響を及ぼします。
  4. 検出方法としては、Webサイトの読み込み速度低下の監視、ルータのDNS設定の確認、オンラインDNSチェッカーやコマンドラインツールの使用などがあります。
  5. 予防策には、ルータのセキュリティ強化、レジストリロックの使用、アンチマルウェアツールの導入、パスワードの強化などがあります。

DNSハイジャックの仕組み

DNSはドメイン名をIPアドレスに変換し、ユーザーがWebサイトにアクセスできるようにします。
DNSハイジャック攻撃では、ハッカーがレコードを変更したり、デバイスに感染させたり、通信を傍受することでDNS設定を改竄します。
この改竄により、ユーザーは偽のWebサイトにリダイレクトされ、知らずに機密情報を入力してしまう可能性があります。

例えば、あなたが所有するドメイン名が「HelloWorld.com」だとします。
DNSハイジャック攻撃が行われると、ユーザーがChromeなどのブラウザに「HelloWorld.com」と入力しても、あなたのWebサイトにはアクセスされません。
正規のサイトではなく、攻撃者の管理下にある悪意のあるWebサイトに誘導されます。

このサイトを訪れたユーザーは、ドメイン名が正しいことから正規のWebサイトだと勘違いし、機密情報を入力してしまうかもしれません。
その結果、ユーザーのデータが盗まれ、あなたのドメインの信用が失われる可能性があります。

DNSハイジャック攻撃の種類

DNSハイジャックには、主に次の4つの種類があります。
ローカルDNSハイジャック、ルータを介したDNSハイジャック、中間者(MITM)攻撃によるハイジャック、不正なDNSサーバの利用です。

1.ローカルDNSハイジャック
ローカルDNSハイジャックでは、ハッカーが被害者のPCにトロイの木馬型マルウェアを感染させます。
その後、攻撃者はローカルのDNS設定を変更します。
これらの変更の目的は、被害者を悪意のあるWebサイトへリダイレクトすることです。
2.中間者攻撃(Man-in-the-middle)
中間者(MITM)攻撃では、ハッカーが通信経路上に介入します。
目的は、DNSサーバとそのユーザー間の通信を傍受し、改竄することです。
その結果、ユーザーは偽のWebサイトや潜在的に危険なWebサイトへ誘導されます。
3.ルータDNSハイジャック
ルータを介したDNSハイジャックでは、攻撃者は一部のルータのファームウェアに脆弱性があることを利用します。
さらに、初期設定のパスワードが変更されていないルータも多く存在します。
これらのセキュリティ上の欠陥により、攻撃者はルータのDNS設定を改竄する攻撃を簡単に行うことができます。
4.不正なDNSサーバ
もう一つの一般的なDNSハイジャックの手法は、不正なDNSサーバの使用です。
この手法では、ハッカーがDNSサーバ上のDNSレコードを不正に変更します。
その結果、DNSリクエストが偽の、潜在的に危険なWebサイトにリダイレクトされるようになります。

DNSハイジャックの事例

DNSハイジャックの脅威の急増
Cloudflareが公開した記事では、Tripwire、FireEye、Mandiantといった大手サイバーセキュリティ企業を標的としたDNSハイジャック攻撃の増加が報告されています。
これらの攻撃は、政府、通信、インターネット関連の組織など多様な業界やセクターを標的としており、中東、ヨーロッパ、北アフリカ、北米など、複数の地域に広がっています。
Sea Turtle DNSハイジャック
2019年、Cisco Talosは、政府機関を主な標的とするDNSハイジャック手法を用いた大規模なサイバースパイ活動を公表しました。
この攻撃は、通信事業者、インターネットサービスプロバイダ、ドメインレジストラに加え、外務省、情報機関、軍、エネルギー分野などの政府関連組織を含む、40以上の組織を対象としていました。
対象地域は、中東および北アフリカでした。
Sitting Ducks DNSハイジャック
Sitting Ducks」と呼ばれる新たなDNS攻撃手法が、2024年にセキュリティ研究者によって報告されました。
この攻撃は、ドメインネームシステムの脆弱性を悪用して複数の登録済みドメインを標的とし、それらをハイジャックするものでした。
攻撃は、被害者自身のアカウントにアクセスすることなく、レジストラまたはDNSプロバイダを通じて実行されました。
100万件以上の登録ドメインが、理論上または実際に乗っ取りの危険にさらされました。

DNSハイジャックとDNSポイズニングの違いとは?

DNSハイジャックはDNSレコードを改竄してユーザーをリダイレクトする攻撃である一方、DNSポイズニング(またはキャッシュポイズニング)は、DNSキャッシュに悪意のあるデータを注入し、ユーザーを一時的に誤誘導する攻撃です。
DNSハイジャックは持続的な影響を及ぼす傾向がある一方、DNSポイズニングはDNSキャッシュの仕組みを悪用した一時的な攻撃であることが一般的です。

DNSハイジャック DNSポイズニング
攻撃手法 DNSサーバ、ルータ、またはデバイスの設定を直接改竄します。 リゾルバのキャッシュに偽のDNS応答を挿入します。
影響 長期的な影響を及ぼす可能性があります。悪意のあるWebサイトへのリダイレクトにより、フィッシングやデータ窃取が発生します。 影響は通常一時的です。
標的 DNSサーバ、ルータ、またはエンドユーザーのデバイスが標的です。 DNSリゾルバおよびキャッシュが標的です。
予防策 ルータを保護し、DNSSECを使用し、DNS設定を監視します。 DNSSECを使用し、DNSキャッシュをクリアし、信頼できるリゾルバを利用します。

DNSハイジャック攻撃の検出方法

DNSハイジャックの兆候

予期しないWebサイトへのリダイレクト
入力したURLと、実際に表示されるWebサイトが一致しない場合、DNSハイジャックの可能性があります。
フィッシングのログインページ
粗末なデザインで、ログイン情報などの機密情報を要求するランディングページは、悪意のあるものである可能性があります。
Webサイトの読み込みが遅い
読み込みが極端に遅く、デザインが不自然なWebサイトは、偽物や悪意のあるものである可能性があります。
予期しないポップアップ広告
信頼できそうなWebサイトを閲覧している最中に突如現れるポップアップ広告は、DNSハイジャックの兆候かもしれません。
マルウェア感染に関する警告
突然現れるウイルス感染の警告は、ユーザーの不安を煽り、不正な操作を誘導する手口である可能性があります。

DNS設定を確認し、DNSハイジャックを検証するためのツール

PowerDMARCの無料DNSレコードチェッカー

この無料ツールは、SPF、DKIM、DMARC、MTA-STS、TLS-RPTBIMIなどのメール認証用DNSレコードをはじめ、さまざまなDNSエントリをチェックします。
DNSレコードの管理と監視、そしてメール認証設定の自動化に利用できます。

Google Admin Toolbox Dig

Google Admin Toolbox Digは、A、MX、CNAME、TXTなどのDNSレコードに対してクエリを実行します。 このツールは、コマンドラインのdigツールと同様の機能をブラウザ上で提供し、Googleが提供するDNSサーバを用いて、クエリ結果を取得します。

コマンドラインDNSツール

nslookup、dig、host、whois などのコマンドラインDNSツールは、ターミナル上で使用され、DNS設定に関する詳細な情報を取得できます。 これらのツールは、次のような用途で使用されます。

DNSハイジャックを防ぐ方法

ネームサーバおよびリゾルバに対する緩和策

エンドユーザーに対する緩和策

サイト所有者に対する緩和策

公共Wi-Fi使用時にDNSハイジャックを回避する方法

DNSハイジャックを修正する方法

1. DNSハイジャックの兆候を特定する
まず最初に、自分がDNSハイジャックの被害に遭っているかを確認することが重要です。
このステップでは、前のセクションで説明したDNSハイジャックの兆候を参考にしてください。
被害が確認されたら、次のステップに進みます。
2. ルータのDNS設定をリセットする
次のステップは、ルータにログインし、「WAN」または「インターネット設定」内にあるDNS設定を確認することです。
DNSが見慣れないIPアドレスのプロバイダに設定されている場合は、CloudflareやGoogle DNSなどの安全なDNSに直ちに変更する必要があります。
設定を変更したら、新しいDNS設定を保存し、ルータを再起動します。
3. DNSSECを設定する
DNSSECは、一部のDNSハイジャック攻撃に対する有効な防御策となり得ます。
このプロトコルは、DNS応答の認証を行い、DNSスプーフィングを防止します。
ただし、DNSSECはDNSサーバを直接改竄するタイプの攻撃には対応できず、正しく実装する必要がある点に注意してください。
プロトコルを設定した後は、PowerDMARCのDNSSECチェッカーを使って正しく実装されているかを確認してください。
4. 悪意のあるソフトウェアやファイルを削除する
DNSハイジャックから保護するために、マルウェアを検出・削除できるアンチマルウェアソフトを使用することをおすすめします。
また、ブラウザ拡張機能や最近インストールされたソフトウェアも確認してください。
DNS設定を変更している可能性のある不審なものを発見した場合は、速やかに削除してください。
5. DNSキャッシュをクリアする
DNSキャッシュをクリアすることは、DNSハイジャックを防ぐ上で重要です。
これにより、デバイスに保存されている破損または悪意のあるDNSエントリが削除されます。
6. セキュリティ機能を有効にする
ルータのセキュリティ機能を有効にするため、パスワードを変更してください。
さらにセキュリティを強化するためにファイアウォールを有効にし、リモート管理を無効にして、ハッカーによる遠隔アクセスを防ぎます。
可能であれば、DoH(DNS over HTTPS)やDoT(DNS over TLS)などの安全なDNSサービスを利用することも推奨されます。
7. 監視と将来の攻撃の防止
将来の攻撃を防止・検出するために、ルータのDNS設定を定期的に確認および監視しましょう。
PowerDMARCの予測型脅威インテリジェンス分析機能は、攻撃パターンや傾向を予測し、既存および将来的なサイバー攻撃に対するアラートを発する優れた監視ツールです。

まとめ

DNSハイジャックは、データの窃取やフィッシング、マルウェア感染を引き起こす、深刻なサイバーセキュリティ上の脅威です。
DNS設定を継続的に監視し、安全なDNSサービスを利用するなどのセキュリティ対策を講じることで、これらの攻撃による被害リスクを軽減できます。

PowerDMARCのリアルタイム監視機能や、DMARC、SPF、DKIMの適切な設定は、DNSの異常検知やドメインセキュリティの強化に役立ちます。
今すぐDNSセキュリティを確認しましょう。