【DNS攻撃編】名前解決とサブドメイン管理の落とし穴｜CTF思考フレームワーク #22

こんにちは、アンペンです！

前回は、ネットワーク偵察(Nmap)で攻撃者が地図を作る話をしました。

今回は、インターネットの『電話帳』にあたるDNSを狙う攻撃を見ていきます。キャッシュポイズニング・サブドメイン乗っ取り・DNSハイジャックの3つを、優しく整理していきましょう。

DNSってドメインをIPに変える仕組みでしょ？それが攻撃されたら何が困るの？

DNSが『電話帳』にあたるから、書き換えられると利用者全員が偽サイトに案内されてしまう。最初の入口を乗っ取られるイメージだよ。

前回の偵察に続いて、今回もネットワークの“土台”がテーマ。主役は、ふだん意識しないけれど、ネットを使うたびに必ずお世話になっている仕組み——DNSです。『名前を、住所（IPアドレス）に変える』案内係。ここが乗っ取られると、利用者は何も悪いことをしていないのに、丸ごと偽サイトへ案内されてしまう。今日は“電話帳の書き換え”にたとえて、その怖さと守りを見ていきます。

DNSは『電話帳』― 名前を信用してIPに変える

DNS(Domain Name System)は、 example.com のような名前を 203.0.113.10 のようなIPアドレスに変換するインターネットの基盤です。利用者は名前を入力し、ブラウザはDNSに問い合わせて本物のIPに辿り着いていると信じています。

つまり、DNSが嘘の答えを返せば、利用者は気づかずに偽のサーバに接続してしまうのです。これがDNS攻撃の怖さの根っこです。

ここがDNS攻撃の本質です。私たちは“名前”は見ていても、“番地（IP）”は見ていない。だから、案内係が嘘の番地を教えても、気づきようがないんです。しかもURLバーには正しい example.com が表示されたまま。見た目は完全に本物なのに、つながっている先だけが偽物——これがDNS攻撃の不気味なところです。鍵マークやドメイン名を見ても、行き先のすり替えには気づけないことがある、と知っておきましょう。

まずDNSの流れをおさらい。あなたがブラウザに example.com と打つと、コンピュータは「その住所、何番地ですか？」とDNSに尋ねます。DNSは「203.0.113.10 ですよ」と番地（IP）を教えてくれて、ブラウザはそこへ接続する。私たちは名前しか見ていないので、返ってきた番地が本物かどうかは、まったく分かりません。この“見えないやりとり”を、私たちは毎回まるごと信用しているわけです。

図解：正しいDNS応答と汚染されたDNS応答

同じ名前への問い合わせでも、リゾルバが返す答えが本物か偽物かで、利用者の行き先が大きく変わります。

キャッシュポイズニングが特にやっかいなのは、“一度の嘘が、大勢に効く”ところです。DNSは同じ質問を何度も受けるので、答えを一時的に覚えておきます（キャッシュ）。その覚えた答えに嘘を一度だけ刷り込めれば、あとはその案内係を使う利用者みんなが、まとめて偽の番地に案内されてしまう。Webキャッシュ汚染（#19）とそっくりな“一発で広く効く”構図が、ここでも顔を出します。

DNSを狙う代表的な3攻撃

DNSを狙う攻撃は、大きく3つ。『案内係に嘘を覚えさせる（キャッシュポイズニング）』『放置された名前を横取りする（サブドメイン乗っ取り）』『電話帳の大元を直接書き換える（DNSハイジャック）』。1つ目は“だます”、2つ目は“拾う”、3つ目は“奪う”。狙う場所は違っても、結果はどれも『利用者を偽の行き先へ』で同じです。

よくある攻撃パターン

• キャッシュポイズニング：リゾルバに偽応答を信じさせ、後続の利用者を偽IPに誘導する
• サブドメイン乗っ取り：廃止したクラウドサービスを指すCNAMEが残ったまま、攻撃者がそのサービスを再取得して正規サブドメインを乗っ取る
• DNSハイジャック：レジストラやDNS管理画面が乗っ取られ、レコードが直接書き換えられる

このうち最近特に被害事例が増えているのが、サブドメイン乗っ取りです。CDN・SaaS・PaaSの解約後にCNAMEを消し忘れて起きるケースが多く、運用ミスがそのまま脆弱性になります。

このサブドメイン乗っ取り、実は“高度なハッキング”というより“片付け忘れ”が原因なんです。たとえば、あるサービスを試すために test.example.com をそのサービスに向けておいた。後でサービスは解約したけれど、DNSの“向き先”だけ消し忘れた——。すると、その空き家になった向き先を攻撃者が再契約で乗っ取り、あなたの正規ドメインの一部を自分のものにしてしまう。派手な攻撃ではないぶん、どの組織でも起こりうる。だから「使い終わったら、向き先も消す」という地味な習慣が、そのまま強力な守りになります。

この回の練習は、自分が管理しているドメインの“電話帳”を棚卸しすることです。今どんなレコードが書かれているか、もう使っていない向き先が残っていないか。攻撃ではなく“お掃除”ですね。もちろん、他人のドメインを勝手に調べて乗っ取りを試すのは厳禁。自分の持ち物の電話帳を、すみずみまで見直してみましょう。

CTFでやってみよう：自分のドメインのDNSを点検する

守りの中心になる『DNSSEC』という言葉、難しそうですが、考え方はシンプルです。

そもそも、DNSの答えが本物かどうか、どうやって確かめるの？

そこを解決するのがDNSSECなんだ。ひとことで言うと、『DNSの答えに“電子的な署名”をつける仕組み』。お店の番地を教えるとき、本物の電話帳だけが押せる“割り印”を一緒に渡すイメージだよ。受け取った側はその割り印を確認して、「これは正規の答えだ」と検証できる。署名のない（または合わない）答えは、偽物として弾ける。名前を信用するしかなかった世界に、“本物の証明”を足してくれるのがDNSSECなんだ。

守る側なら、「DNSSEC・最新化・残骸監査」の3本柱

DNS攻撃の守りは、「応答の正しさを検証する仕組み(DNSSEC)」「リゾルバ実装を最新化」「残骸レコードの監査」の3点が柱になります。

DNSって『信用前提』の仕組みなんだね。だから守りも応答の正しさ検証が中心、と。

そう。あと、サブドメイン乗っ取りは『運用の事故』として最も起きやすいから、定期棚卸しの仕組み化が効くよ。

ここまでをひと言で言うと、DNSの守りは『答えに本物の証明をつけ、電話帳をこまめに片付ける』こと。DNSSECで応答の正しさを検証できるようにし、使わなくなった向き先は残さず消す。そして電話帳の大元（管理画面）は、MFAでしっかり施錠する。技術と運用、その両輪がそろってはじめてDNSは守られます。

まとめ：DNSは『電話帳』だから運用が命

今日の持ち帰りは『見えない案内係を、こまめに点検する』です。DNSはふだん完全に裏方なので、つい“あって当たり前”で放置しがち。でも、ここを乗っ取られると入口ごと持っていかれます。だからこそ、自分のドメインの電話帳を定期的に見直し、古い向き先を片付ける——その地道さが、いちばん効く守りになります。

次回は、通信経路に割り込んで盗み聞きや改ざんを行う中間者攻撃(MITM)を扱います。ARPスプーフィング・SSLストリッピングと、その守り方を見ていきましょう。

次に読みたい記事

参考資料