DNS水責め攻撃とは？ 10分でわかりやすく解説

UnsplashのChristian Jungが撮影した写真      

あなたのサービスが突然つながりにくくなったり、サイト表示が極端に遅くなったりしたことはありませんか？原因がサーバーや回線ではなく、DNSにあるケースもあります。その代表例がDNS水責め攻撃です。 DNSは「ドメイン名（例：example.com）をIPアドレスに変換する仕組み」で、ここが詰まるとWebやメールなど多くの通信が止まります。つまり、DNSが狙われるとサービス全体の可用性に直撃します。 この記事では、DNS水責め攻撃がどんな攻撃で、なぜ効いてしまうのか、どこで被害が起きるのか、そして現実的にどんな対策が効くのかを、できるだけ分かりやすく整理します。読み終えたときに「自社はどこを監視し、何を増強し、どこを外部に任せるべきか」が判断できる状態を目指します。

DNS水責め攻撃とは

DNS水責め攻撃の定義

DNS水責め攻撃は、DNS（Domain Name System）に対して大量の問い合わせ（DNSクエリ）を発生させ、処理を追いつかせなくすることで、名前解決を遅延・失敗させる攻撃です。 多くの場合、狙いは「DNSサーバーを完全に落とす」ことよりも、名前解決を不安定にしてサービスを使いにくくすることにあります。

DNS水責めの特徴は、単に大量のクエリを投げるだけでなく、キャッシュが効きにくい問い合わせを作り、DNS側の処理負荷を意図的に上げる点にあります。これにより、見た目のトラフィック量以上に“DNSの仕事”が増え、遅延やタイムアウトが起きやすくなります。

DNS水責め攻撃の仕組み

DNS水責めは、ざっくり言うと次の流れで起きます。

1. 攻撃者はボットネットなどを使い、多数の端末からDNSクエリを発生させます。
2. クエリには、実在ドメイン配下のランダムなサブドメイン（例：aj39x.example.com のような毎回違う文字列）が使われやすいです。
3. このランダム性により、キャッシュ（DNSの“覚え書き”）が効きづらく、再帰DNSや権威DNSが毎回処理に追われます。
4. 結果として、正規ユーザーのDNS問い合わせが遅延し、Web表示やAPI接続、メール配送などが影響を受けます。

DNSの処理は「再帰DNS（社内DNSやISP/クラウドDNSなど、問い合わせを取りまとめる側）」と「権威DNS（そのドメインの答えを持つ側）」で役割が分かれています。DNS水責めはケースによって負荷のかかり方が変わりますが、典型的にはキャッシュミスが増え、権威DNSへの問い合わせが急増する形になりやすいです。

なお、攻撃者が送信元IPアドレスを偽装して追跡を難しくするケースもありますが、DNS水責めの本質は「偽装」よりも「キャッシュが効かないクエリで処理を増やす」ことです。

DNS水責め攻撃の目的

DNS水責め攻撃の主な目的は、次のように整理できます。

DNS水責め攻撃による影響

DNS水責め攻撃が厄介なのは、DNSが「入口」だからです。DNSが詰まると、サーバー自体は生きていても利用者からは“落ちた”ように見えます。具体的な影響は次の通りです。

• サービスの可用性低下：サイト表示遅延、アプリ接続失敗、APIタイムアウトなどが増えます。
• ビジネス機会損失：購入・予約・問い合わせなどの導線が止まり、機会が消えます。
• 評判の低下：原因がDNSだとしても、ユーザーから見れば「つながらないサービス」です。
• 対策コストの増加：DNS基盤の増強、外部サービス利用、監視の強化など追加投資が必要になる場合があります。

そのため、DNS水責めへの対策は「落ちてから復旧」ではなく、事前に耐える設計と、早期検知の運用が重要になります。

DNS水責め攻撃の事例

過去に発生したDNS水責め・DNS起点の大規模障害

DNSを狙った大規模なDDoSや障害は過去に何度も起きています。2016年には大手DNS事業者が大規模な攻撃を受け、複数の有名サービスが一時的に利用しにくくなりました。攻撃側がIoT機器などを含むボットネットを悪用し、DNS関連の通信に負荷をかけたことが知られています。

ここで押さえたいのは「DNSが単体で落ちると、関係する複数サービスが同時に影響を受ける」ことです。DNSは裏方ですが、止まると表に出ます。

DNS水責め攻撃による被害状況

DNS水責めでは、次のような“見え方”の被害が起きやすくなります。

• 特定地域・特定ISPだけ遅い（再帰DNSの混雑で偏りが出る）
• サイト自体は動いているのに「名前解決だけ不安定」
• 断続的に遅い／直るを繰り返す（攻撃の波、対策の効き具合で揺れる）
• メール配送が遅れる（MX参照や周辺のDNS参照が詰まる）

WebサーバーのCPUや回線だけを見ていると原因にたどり着きにくいので、DNSの監視が重要になります。

DNS水責め攻撃の実例の読み解き方

「海外IPから大量アクセスが来た」だけでは、水責めかどうかは判断できません。DNS水責めらしさを見るなら、次のような点がヒントになります。

• 同一ドメイン配下に対するクエリが急増している
• クエリの名前が毎回違う（ランダムなサブドメイン）
• 応答がNXDOMAIN（存在しない）やSERVFAIL（失敗）が増える
• 再帰DNS→権威DNSへの問い合わせ（外向き通信）が跳ねる

つまり「量」だけでなく、クエリの中身（名前の揺れ方、キャッシュの効かなさ）を見るのがコツです。

DNS水責め攻撃の傾向と対策の方向性

近年は、ボットネットの規模が大きく、攻撃が分散しやすいため、単純なIPブロックだけでは追いつかないことがあります。そこで対策は「守る場所を分ける」発想が有効です。

• 権威DNSはAnycastや複数拠点で“受け止める”
• 再帰DNSはキャッシュ・レート制御・監視で“異常を早く見つける”
• 自社だけで抱えず、必要に応じてDDoS対策やDNS事業者の力を借りる

攻撃は進化する前提で、設計と運用をセットで見直すのが現実的です。

DNS水責め攻撃への対策

DNS水責め攻撃の検知方法

DNS水責めは“DNSの異常”として現れます。早期に気づくには、次の観点が効きます。

• DNSクエリ数（QPS）の監視：平常時と比べて急増していないか
• 応答時間（レイテンシ）の監視：名前解決にかかる時間が伸びていないか
• 応答コードの偏り：NXDOMAIN/SERVFAILの比率が急に増えていないか
• 特定ドメインへの集中：狙われているゾーンが偏っていないか
• キャッシュヒット率：キャッシュが効かず外向き問い合わせが増えていないか

「Webは遅いがサーバーは元気」という状況では、DNSの指標を見るだけで原因に近づけることが多いです。

DNS水責め攻撃への技術的対策

技術対策は“耐える・減らす・逃がす”の組み合わせが基本です。

1. DNSの冗長化と負荷分散：権威DNSを複数拠点化し、単一点障害を減らします。
2. Anycastの活用：攻撃トラフィックを地理的に分散し、1拠点への集中を避けます。
3. キャッシュ戦略の最適化：再帰DNS側でキャッシュが効く範囲を広げ、外向き問い合わせを減らします。
4. レート制御（Rate Limit）：単位時間あたりのクエリ数に制限を設け、異常な増加を抑えます。
5. 悪性クエリの特徴での遮断：ランダムなサブドメインが異常に多い場合、パターンベースで落とす判断をします。
6. 外部のDDoS対策／DNSサービスの利用：自社だけで吸収できない規模は、専門基盤に逃がすのが早いです。

DNS水責めは「帯域を食い尽くす」だけでなく「DNS処理を食い尽くす」攻撃でもあります。回線増強だけで安心せず、DNSの処理設計（キャッシュ・分散・制御）まで含めて考えるのがポイントです。

DNS水責め攻撃への組織的対策

DNSは担当が分かれやすく、運用の穴が空きがちです。組織面では次が効きます。

• セキュリティポリシーの整理：DNSを“重要インフラ”として扱い、監視・変更管理のルールを明確にします。
• インシデント対応体制：DNS事業者・回線・SOCなど連絡先と手順を事前に整備します。
• 定期的な演習：切り戻し、委譲先の変更、緊急時のTTL調整など“実務でやること”を確認します。
• 情報共有：攻撃動向や障害情報を継続的に取り込み、手順を更新します。
• 従業員教育：DNS停止が何を止めるか（Webだけではない）を共有し、初動を早くします。

DNS水責め攻撃対策の留意点

対策は強くしすぎると“自分で自分を止める”ことがあります。次のバランスに注意が必要です。

DNS水責めによる被害を防ぐには、技術と運用をセットで整え、継続的に改善することが重要です。

まとめ

DNS水責め攻撃は、DNSに対してキャッシュが効きにくい大量の問い合わせを発生させ、名前解決を不安定にする攻撃です。DNSが詰まるとWebだけでなく、APIやメールなどサービス全体の可用性に影響が出ます。

対策の軸は、（1）DNSの冗長化・分散（Anycastなど）で“受け止める”、（2）監視で“早く気づく”、（3）レート制御やフィルタリングで“減らす”、（4）必要なら外部の専門基盤で“逃がす”の組み合わせです。DNSは目立たない基盤ですが、止まると事業に直結します。平時のうちに「どこが詰まると何が止まるか」を押さえ、強固な防御体制を整えていきましょう。