IT用語集

DNSキャッシュポイズニングとは? わかりやすく10分で解説

水色の背景に六角形が2つあるイラスト 水色の背景に六角形が2つあるイラスト
アイキャッチ
目次

DNSキャッシュポイズニングとは?

DNSキャッシュポイズニング(DNS Cache Poisoning)とは、DNS(Domain Name System)のキャッシュに不正な名前解決結果(偽のIPアドレスなど)を混入させることで、利用者を攻撃者の用意したサーバへ誘導する攻撃です。広い意味ではDNSスプーフィング(DNS Spoofing)に含まれることが多く、結果として「本物のサイトにアクセスしたつもりなのに、偽サイトに接続してしまう」状況を引き起こします。

たとえば、利用者が狙われたドメイン名を問い合わせた際に、キャッシュが汚染されていると、DNSサーバ(または中継するリゾルバ)が偽の応答を返してしまい、ブラウザやアプリが誤った接続先へ向かいます。見た目が本物そっくりな偽サイトへ誘導されると、認証情報の詐取やマルウェア感染につながる恐れがあります。

DNSキャッシュポイズニングのイメージ

DNSの基本概念

DNSは、ホスト名(例:www.example.com)をIPアドレス(例:203.0.113.10)に変換する仕組みです。人間に覚えやすいドメイン名でアクセスできるようにする一方、システム内部ではIPアドレスを使って通信先を特定します。

DNSの重要な特徴の一つが「キャッシュ」です。リゾルバ(DNS問い合わせを代行するサーバ)は、直近の問い合わせ結果を一定時間保存し、同じ問い合わせが来たときに素早く応答できるようにします。このキャッシュの利便性が、攻撃の標的にもなります。

DNSキャッシュポイズニングの仕組み

DNSキャッシュポイズニングでは、攻撃者がDNSリゾルバのキャッシュに偽の名前解決結果を保存させることを狙います。キャッシュが汚染されると、以後そのリゾルバを利用する端末は、同じドメイン名の問い合わせに対して誤ったIPアドレスへ誘導される可能性があります。

攻撃が成立する条件や手口は複数ありますが、要点は共通しています。すなわち、DNSが「問い合わせと応答の正当性」を十分に担保できない状態だと、攻撃者の偽応答が紛れ込み、キャッシュとして残ってしまうことがある、という点です。

DNSキャッシュポイズニングのリスク

DNSキャッシュポイズニングは、通信の入口(名前解決)を乗っ取るため、影響範囲が広がりやすい攻撃です。代表的なリスクは次の通りです。

  • 偽サイト誘導(フィッシング):正規サイトのつもりでアクセスし、ID・パスワードや決済情報を入力してしまう
  • マルウェア感染:偽サイトから不正ファイルや悪意あるスクリプトを配布される
  • ブランド毀損:利用者が「公式サイトが危険だった」と誤認し、信用低下につながる
  • 業務影響:業務SaaSや社内システムへの接続が失敗・迂回し、業務停止や障害対応コストが発生する

DNSキャッシュポイズニングの実害

DNSキャッシュポイズニングは、利用者の接続先そのものを変えてしまうため、「ユーザー操作ミス」ではなく「仕組みとして誤誘導される」被害が起き得ます。ここでは、実務的に起こりやすい被害を整理します。

顧客ロイヤルティの低下

利用者が正規サイトにアクセスできず、偽サイトやエラーに遭遇すると、サービス全体への不信感が高まります。とくにログインや決済といった重要な導線で問題が起きると、離脱や問い合わせ増加を招き、顧客ロイヤルティに影響します。

ブランドイメージの損傷

攻撃がDNSやネットワーク側の問題であっても、利用者からは「その会社のサイトが危険だった」と認識されやすい点が厄介です。SNS等での拡散や風評が起きると、復旧後も印象が残り、ブランド毀損につながります。

マルウェアのインストール

偽サイトに誘導された結果、端末にマルウェアが入ると、個人端末の被害に留まらず、組織ネットワークへの侵入や横展開の起点になる可能性があります。感染の疑いが出るだけでも、調査・隔離・復旧の負荷が発生します。

クレデンシャルの盗難

最も深刻になりやすいのが認証情報の詐取です。偽のログイン画面に誘導され、ID・パスワード、ワンタイムコード、あるいは個人情報を入力してしまうと、アカウント乗っ取りや二次被害につながります。

DNSキャッシュポイズニング攻撃の典型パターン

DNSキャッシュポイズニングは「DNSの応答が信用される」ことを悪用します。典型的なパターンでは、攻撃者が偽のDNS応答を紛れ込ませ、正規ドメイン名が攻撃者のサーバIPに解決される状態を作ります。その後、利用者は普段どおりURLを入力しても偽サイトに到達します。

ここで重要なのは、攻撃がDNSというインフラ層で起きると、Webブラウザやメールクライアントなど複数の利用経路に波及し得る点です。影響が「そのサイトだけ」に見えて、実際は「そのDNSを使う利用者全体」に及ぶ可能性があります。

DNSキャッシュポイズニングへの対策

DNSキャッシュポイズニングは単一の対策で完全に防ぐというより、DNS設計・ネットワーク運用・エンドポイント対策を組み合わせてリスクを下げます。代表的な対策を、効果が期待できる順に整理します。

DNSSECの導入(権威DNS側)

DNSSEC(Domain Name System Security Extensions)は、DNS応答に電子署名を付与し、受け取った側が「改ざんされていない正当な応答か」を検証できるようにする仕組みです。DNSキャッシュポイズニングやDNSスプーフィングに対して、根本的な防御として位置づけられます。

ただし、DNSSECは権威DNS(ドメインを管理する側)での署名と、リゾルバ側での検証が揃ってはじめて効果が出ます。導入時は運用設計(鍵管理、ロールオーバー、障害時の影響)まで含めた検討が必要です。

リゾルバ側の防御(キャッシュ汚染を起こしにくくする)

組織で利用するDNSリゾルバ(社内DNS、フォワーダ、セキュアDNS等)について、キャッシュ汚染が起こりにくい設定・実装になっていることが重要です。例として、問い合わせと応答の関連付け強化、不要な再帰設定の見直し、外部公開範囲の最小化などが挙げられます。

DNS通信の盗聴・改ざん対策(経路保護)

DNSキャッシュポイズニングそのものは「偽応答を混ぜる」問題ですが、ネットワーク上でDNS通信が覗かれたり改ざんされたりする環境だと、攻撃が成立しやすくなる場合があります。環境に応じて、DNSの通信経路を保護する選択肢(例:組織標準のセキュアDNSの利用等)を検討します。

エンドポイント対策(被害の顕在化を抑える)

DNSレイヤで誤誘導が起きても、最終的な被害(マルウェア実行、認証情報入力)を止められることがあります。端末側では、脅威対策製品の更新、ブラウザ保護、危険サイトブロック、資格情報保護、OS・アプリのアップデートを継続することが重要です。

※誤解されやすい点:MTA-STSはDNSキャッシュポイズニング対策ではない

MTA-STSはメール配送(SMTP)においてTLSを強制する仕組みで、メールの盗聴やダウングレード攻撃などのリスク低減に役立ちます。ただし、DNSキャッシュポイズニングそのものを防ぐ主対策はDNSSECやリゾルバ側の防御であり、MTA-STSは目的が異なります(メール配送の安全性向上の話です)。

DNSキャッシュポイズニングを防ぐための運用ポイント

適切なセキュリティポリシーの確立

DNSは「つながって当たり前」の基盤であり、後回しにされがちです。だからこそ、リゾルバの管理責任、利用するDNSの標準、監視・ログ保全、障害時の切り戻しなどをポリシーとして明確化し、例外を増やさないことが重要です。

定期的なセキュリティチェックとアップデート

DNSサーバ(リゾルバ/権威DNS)、境界機器、端末のアップデートを継続し、既知の脆弱性を残さないことが基本です。加えて、DNS関連ログ(名前解決の失敗、異常な応答、急増する特定ドメイン問い合わせ等)を見られる状態にしておくと、異常検知が容易になります。

インシデントレスポンス計画

疑わしい兆候が出た際に、どのDNSを切り替えるのか、キャッシュをどう扱うのか、利用者に何を案内するのか、関係部署へどう連絡するのかを事前に決めておきます。DNSは影響範囲が広いので、初動の遅れが被害拡大につながりやすい領域です。

教育とトレーニング

利用者向けには「URLが正しいのに挙動がおかしい」「証明書警告が出る」「ログイン画面が不自然」などの気づきポイントを周知します。運用者向けには、DNSの基礎、ログの見方、切り分け手順、DNSSECの運用要点などを定期的に確認しておくと、対応の質が上がります。

DNSキャッシュポイズニング攻撃の今後

攻撃者は、フィッシングやマルウェア配布の成功率を上げるために、誘導の入口を常に狙います。DNSはその入口の一つであり、環境の変化(クラウド利用、リモートワーク、拠点増加)によってDNSの経路や運用が複雑化すると、設定不備や例外運用が攻撃余地になり得ます。

一方で、防御側にはDNSSECの普及やリゾルバの防御機能強化など、選択肢も増えています。重要なのは「DNSを基盤として管理する」意識を持ち、技術と運用の両面で継続的に整備することです。

まとめ

DNSキャッシュポイズニングは、DNSのキャッシュに偽の名前解決結果を混入させ、利用者を偽サイトや攻撃者のサーバへ誘導する攻撃です。被害はフィッシングやマルウェア感染、認証情報の窃取、ブランド毀損など多岐にわたります。

対策の柱は、DNSSECの導入、リゾルバ側の防御強化、ログ監視とアップデートの継続、そしてインシデント対応体制の整備です。DNSは目立たない基盤ですが、だからこそ「安全に運用する仕組み」を先に作っておくことが重要です。

Q.DNSキャッシュポイズニングとDNSスプーフィングの違いは?

一般に、DNSスプーフィングはDNS応答を偽装して誤誘導する行為全般を指し、DNSキャッシュポイズニングはその中でも「リゾルバのキャッシュを汚染して誤誘導を継続させる」点に焦点がある呼び方です。

Q.DNSキャッシュポイズニングが起きると、利用者側では何が起こりますか?

正しいURLを入力しても偽サイトに誘導されたり、正規サービスに接続できなくなったりします。結果としてフィッシング被害やマルウェア感染につながることがあります。

Q.HTTPSならDNSキャッシュポイズニングを防げますか?

HTTPSは通信の暗号化とサーバ証明書の検証により被害を抑える助けになりますが、DNSの誤誘導自体を止める仕組みではありません。証明書警告が出た場合は特に注意が必要です。

Q.最も効果が高い対策は何ですか?

DNS応答の正当性を検証できるDNSSECは、DNSスプーフィング/キャッシュポイズニングへの根本対策として重要です(権威DNSでの署名とリゾルバでの検証が揃うことが前提です)。

Q.企業でまず取り組むべき現実的な対策は?

利用するDNSリゾルバを標準化し、管理範囲を明確にしたうえで、設定の見直し・アップデート・ログ監視を継続することが第一歩です。加えてDNSSEC対応の検討を進めます。

Q.個人ユーザーができることはありますか?

OS・ブラウザ・セキュリティソフトを最新に保つこと、証明書警告を無視しないこと、不審なログイン画面でパスワードを入力しないことが重要です。

Q.DNSのキャッシュが汚染されているか疑うサインは?

特定サイトだけ接続先が変になる、別の端末/回線では正常、証明書警告が出る、社内で急に同じ問い合わせが増える、といった兆候は確認ポイントになります。

Q.インシデント対応で最初にやるべきことは?

影響範囲(どの拠点・端末・DNSを利用しているか)を特定し、疑わしいリゾルバの切替やキャッシュの扱いを含めて暫定復旧を優先します。同時にログを保全し、原因調査へつなげます。

Q.MTA-STSはDNSキャッシュポイズニング対策になりますか?

主目的が異なります。MTA-STSはメール配送(SMTP)のTLS強制に関する仕組みで、DNSキャッシュポイズニングの主対策はDNSSECやリゾルバ側の防御です。

Q.DNSSECを導入する際の注意点は?

鍵管理(ロールオーバー含む)や運用手順が重要です。設定ミスは名前解決不能などの障害につながるため、検証環境・段階導入・監視を前提に進めます。

記事を書いた人

ソリトンシステムズ・マーケティングチーム

申込受付中 イベント&セミナー 医療情報セキュリティ GIGAスクールも校務DXもソリトンでまとめて解決 2025年度 セキュリティ実態調査

ピックアップ Pick up

Pick up一覧

タグ Tag

金融 流通・小売 医療 エネルギー 運輸 サービス 情報通信 中央省庁・独法 自治体・地方公共団体 教育・文教 認証 エンドポイント ネットワーク ゼロトラスト 販売店インタビュー メーカーインタビュー セミナーレポート 展示会・フェアレポート サイバーセキュリティ リモートアクセス テレワーク 社内LAN 無線LAN プロダクト検証 サプリカント設定 技術解説記事 調査報告 Windows iOS macOS Android ChromeOS DHCP/DNS Soliton OneGate NetAttest EPS NetAttest D3 SmartOn ID InfoTrace 360 Soliton SecureBrowser Soliton SecureDesktop WrappingBox FileZen S VVAULT コラム 調査レポート目次 Soliton SecureWorkspace HiQZen 外部リンク VVAULT AUDIT サイバー攻撃 SASE
強固な認証で企業ネットワークを安全に 止まらないネットワークを実現する SSW 1/10程度のコストで実現 ゼロトラストを実現するIDaaS

関連記事

Related Article