DNS水責め攻撃とは？ 10分でわかりやすく解説

UnsplashのChristian Jungが撮影した写真      

DNS水責め攻撃とは、ランダムなサブドメインへの問い合わせを大量に発生させ、DNSのキャッシュを効きにくくすることで、権威DNSサーバーやフルサービスリゾルバーに高い負荷をかけるDDoS攻撃です。あなたのサービスが突然つながりにくくなったり、サイト表示が極端に遅くなったりしたとき、原因がサーバーや回線ではなく、DNSにあるケースもあります。DNSは「ドメイン名（例：example.com）をIPアドレスに変換する仕組み」で、ここが詰まるとWebやメールなど多くの通信に影響が及びます。この記事では、DNS水責め攻撃の仕組みや影響、現実的な対策を整理し、何を監視し、どこを増強し、どこを外部に任せるべきかを判断できる状態を目指します。

DNS水責め攻撃とは

DNS水責め攻撃の定義

DNS水責め攻撃は、DNS（Domain Name System）に対して大量の問い合わせ（DNSクエリ）を発生させ、処理を逼迫させることで、名前解決を遅延・失敗させる攻撃です。ランダムなサブドメインへの問い合わせを大量に発生させ、権威DNSサーバーやフルサービスリゾルバーを過負荷にし、サービス不能や著しい可用性低下を引き起こします。

DNS水責めの特徴は、単に大量のクエリを投げるだけでなく、キャッシュが効きにくい問い合わせを作り、DNS側の処理負荷を意図的に上げる点にあります。これにより、見た目のトラフィック量以上に“DNSの仕事”が増え、遅延やタイムアウトが起きやすくなります。

DNS水責め攻撃の仕組み

DNS水責めは、概ね次の流れで発生します。

1. 攻撃者はボットネットなどを使い、多数の端末からDNSクエリを発生させます。
2. クエリには、実在ドメイン配下のランダムなサブドメイン（例：aj39x.example.com のような毎回違う文字列）が使われやすいです。
3. このランダム性により、キャッシュ（DNSの“覚え書き”）が効きづらく、再帰DNSや権威DNSが毎回処理に追われます。
4. 結果として、正規ユーザーのDNS問い合わせが遅延し、Web表示やAPI接続、メール配送などが影響を受けます。

DNSでは、「再帰DNS（社内DNSやISP、クラウドDNSなど、問い合わせを取りまとめる側）」と「権威DNS（そのドメインの答えを持つ側）」が役割を分担しています。DNS水責めは負荷のかかり方がケースによって異なりますが、典型的にはキャッシュミスが増え、権威DNSへの問い合わせが急増する形になりやすいです。

なお、DNS水責めでは送信元IPアドレスの詐称は必須ではありません。特徴は、通常の問い合わせと見分けにくいランダムなサブドメインへの問い合わせで、キャッシュを効きにくくし、権威DNSやフルサービスリゾルバーの処理を増やす点にあります。

DNS水責め攻撃の目的

DNS水責め攻撃の主な目的は、サービス妨害です。

DNS水責め攻撃による影響

DNS水責め攻撃が厄介なのは、DNSが「入口」だからです。DNSが詰まると、サーバー自体は生きていても利用者からは“落ちた”ように見えます。具体的な影響は次の通りです。

• サービスの可用性低下：サイト表示遅延、アプリ接続失敗、APIタイムアウトなどが増えます。
• ビジネス機会損失：購入・予約・問い合わせなどの導線が止まり、機会が消えます。
• 評判の低下：原因がDNSだとしても、ユーザーから見れば「つながらないサービス」です。
• 対策コストの増加：DNS基盤の増強、外部サービス利用、監視の強化など追加投資が必要になる場合があります。

そのため、DNS水責めへの対策は「落ちてから復旧」ではなく、事前に耐える設計と、早期検知の運用が重要になります。

DNS水責め攻撃と他のDNS攻撃の違い

単純なDNS負荷攻撃との違い

DNS水責め攻撃は、同じ問い合わせをただ大量に送る攻撃とは異なり、ランダムなサブドメインを使ってキャッシュを効きにくくする点に特徴があります。トラフィック量だけを見ると見落としやすく、クエリ名のばらつきやキャッシュミスの増加まで見ないと実態をつかみにくくなります。

DNSリフレクションとの違い

DNSリフレクションは応答の増幅を利用する攻撃ですが、DNS水責め攻撃は名前解決の処理そのものを詰まらせる方向で影響を広げます。送信元IPアドレスの詐称が必須ではない点も、見分けるうえでの手がかりになります。

DNS水責め攻撃の事例

過去の主な事例と大規模障害

DNSを狙った大規模なDDoSや障害は過去に何度も起きています。2016年には大手DNS事業者が大規模な攻撃を受け、複数の有名サービスが一時的に利用しにくくなりました。攻撃側がIoT機器などを含むボットネットを悪用し、DNS関連の通信に負荷をかけたことが知られています。

ここで押さえたいのは「DNSが単体で落ちると、関係する複数サービスが同時に影響を受ける」ことです。DNSは裏方ですが、止まると表に出ます。

DNS水責め攻撃による被害状況

DNS水責めでは、次のような“見え方”の被害が起きやすくなります。

• 特定地域・特定ISPだけ遅い（再帰DNSの混雑で偏りが出る）
• サイト自体は動いているのに「名前解決だけ不安定」
• 断続的に遅い／直るを繰り返す（攻撃の波、対策の効き具合で揺れる）
• メール配送が遅れる（MX参照や周辺のDNS参照が詰まる）

WebサーバーのCPUや回線だけを見ていると原因にたどり着きにくいので、DNSの監視が重要になります。

DNS水責め攻撃の実例の読み解き方

「海外IPから大量アクセスが来た」だけでは、水責めかどうかは判断できません。DNS水責めらしさを見るなら、次のような点がヒントになります。

• 同一ドメイン配下に対するクエリが急増している
• クエリの名前が毎回違う（ランダムなサブドメイン）
• ランダムなサブドメインに対するNXDOMAINの急増や、権威DNSの応答不能時にSERVFAILが増えていないか
• 再帰DNS→権威DNSへの問い合わせ（外向き通信）が跳ねる

つまり「量」だけでなく、クエリの中身（名前の揺れ方、キャッシュの効かなさ）を見るのがコツです。

最近の傾向と対策の考え方

近年は、ボットネットの規模が大きく、攻撃が分散しやすいため、単純なIPブロックだけでは追いつかないことがあります。そこで対策は「守る場所を分ける」発想が有効です。

• 権威DNSはAnycastや複数拠点で“受け止める”
• 再帰DNSはキャッシュ・レート制御・監視で“異常を早く見つける”
• 自社だけで抱えず、必要に応じてDDoS対策やDNS事業者の力を借りる

攻撃手法は変わるため、一度対策を入れて終わりにはできません。設計と運用の両方を定期的に見直す必要があります。

DNS水責め攻撃への対策

DNS水責め攻撃の検知方法

DNS水責めは“DNSの異常”として現れます。早期に気づくには、次の観点が効きます。

• DNSクエリ数（QPS）の監視：平常時と比べて急増していないか
• 応答時間（レイテンシ）の監視：名前解決にかかる時間が伸びていないか
• 応答コードの偏り：NXDOMAIN/SERVFAILの比率が急に増えていないか
• 特定ドメインへの集中：狙われているゾーンが偏っていないか
• キャッシュヒット率：キャッシュが効かず外向き問い合わせが増えていないか

「Webは遅いがサーバーは元気」という状況では、DNSの指標を見るだけで原因に近づけることが多いです。

DNS水責め攻撃への技術的対策

技術対策は“耐える・減らす・逃がす”の組み合わせが基本です。

1. DNSの冗長化と負荷分散：権威DNSを複数拠点化し、単一点障害を減らします。
2. Anycastの活用：攻撃トラフィックを地理的に分散し、1拠点への集中を避けます。
3. キャッシュ戦略の最適化：再帰DNS側でキャッシュが効く範囲を広げ、外向き問い合わせを減らします。
4. 問い合わせ集中を抑える設定の活用：実装に応じて、BIND 9 の fetches-per-zone / fetches-per-server や Unbound の ratelimit などを使い、特定ゾーンへの問い合わせ集中を抑えます。
5. 悪性クエリの特徴での遮断：ランダムなサブドメインが異常に多い場合、パターンベースで落とす判断をします。
6. 外部のDDoS対策／DNSサービスの利用：自社だけで吸収できない規模は、専門基盤に逃がすのが早いです。

DNS水責めは「帯域を食い尽くす」だけでなく「DNS処理を食い尽くす」攻撃でもあります。回線増強だけで安心せず、DNSの処理設計（キャッシュ・分散・制御）まで含めて考えるのがポイントです。

DNS水責め攻撃への組織的対策

DNSは担当が分かれやすく、運用の穴が空きがちです。組織面では次が効きます。

• セキュリティポリシーの整理：DNSを“重要インフラ”として扱い、監視・変更管理のルールを明確にします。
• インシデント対応体制：DNS事業者・回線・SOCなど連絡先と手順を事前に整備します。
• 定期的な演習：切り戻し、委譲先の変更、緊急時のTTL調整など“実務でやること”を確認します。
• 情報共有：攻撃動向や障害情報を継続的に取り込み、手順を更新します。
• 従業員教育：DNS停止が何を止めるか（Webだけではない）を共有し、初動を早くします。

DNS水責め攻撃対策の留意点

対策は強くしすぎると“自分で自分を止める”ことがあります。次のバランスに注意が必要です。

DNS水責めの被害を抑えるには、技術対策と運用体制を一緒に整えたうえで、実際の障害や攻撃の傾向に合わせて手順を更新していくことが欠かせません。

DNS水責め攻撃対策で先に決めておきたいこと

自社で監視する指標

まず決めておきたいのは、平常時と異常時をどう見分けるかです。DNSクエリ数、応答時間、ランダムなサブドメインに対するNXDOMAINの増加、権威DNSの応答不能時に生じるSERVFAILの増加、特定ドメインへの集中、キャッシュヒット率といった指標を継続的に見られる状態にしておくと、Webサーバーや回線だけでは見えない異常に気づきやすくなります。

自社で増強する範囲と外部に任せる範囲

対策はすべてを自社で抱える必要はありません。権威DNSの冗長化や運用手順の整備は自社側で進めつつ、大規模なDDoS吸収や分散基盤の確保はDNS事業者や外部サービスに任せるなど、どこまでを自社責任で持つかを先に決めておくと、障害時の判断が速くなります。

まとめ

DNS水責め攻撃は、DNSに対してキャッシュが効きにくい大量の問い合わせを発生させ、名前解決を不安定にする攻撃です。DNSが詰まるとWebだけでなく、APIやメールなどサービス全体の可用性に影響が出ます。

対策は一つで完結しません。権威DNSの冗長化やAnycastで負荷を分散し、監視で異常を早く捉え、問い合わせ集中を抑える設定やフィルタリングで被害を広げにくくする、という組み合わせで考えるのが現実的です。自社だけで抱えきれない規模に備えて、どの段階でDNS事業者や外部のDDoS対策を使うかも平時のうちに決めておくと、障害時の判断がぶれにくくなります。