メインコンテンツにスキップする

ドメイン名(DNS)ハイジャック攻撃とは?

ハイジャックされたDNSサーバー群。

ドメインネームシステム(DNS)のハイジャックはシステムにとって深刻な脅威であり、甚大な被害をもたらす可能性があります。この攻撃では、悪意のある第三者がDNSの設定を乗っ取り、ユーザーの経路を変更して不正なWebサイトに導くことが可能になるため、さまざまなユーザーに影響が及ぶ可能性があります。DNSハイジャックを完全に理解するためには、DNSとは何か、DNSは何をしているのかについて一般的な知識を持つことが重要です。

簡単に言うと、DNSは全世界のWebサイトを追跡、分類、規制するために使用されます。ドメイン名(kaspersky.comなど)を変換して、インターネットリソース(Webページやブログ記事など)を読み込むためにユーザーのブラウザーが必要とするIPアドレスに変えることで、ユーザーが情報にアクセスできるようにします。DNSの仕組みについてもっと詳しく知りたい方は、DNSスプーフィングとキャッシュポイズニングの記事をご覧ください。

DNSとは何か、そしてその目的についてご理解いただけたところで、DNSハイジャックについてさらに調べてみましょう。

  • DNSハイジャックとは
  • DNSハイジャックの仕組み
  • DNSハイジャックを検知する方法
  • DNSハイジャックを防ぐ方法
  • DNSハイジャックに関するFAQ

DNSハイジャックとは

ドメインネームシステムのハイジャックは、DNSリダイレクト攻撃とも呼ばれます。この攻撃では、被害者のブラウザーから送信されたDNSクエリが誤って解決され、悪意のあるWebサイトにユーザーを転送します。

DNSスプーフィング攻撃の中には、DNSキャッシュポイズニング(システムが不正なIPアドレスをローカルメモリキャッシュに記録する)のようにDNSレコードを改変しようとするものがありますが、DNSハイジャックの場合、主に被害者のコンピューターにマルウェアをインストールすることによってDNS設定自体を変更します。これにより、ハッカーによるルーターの乗っ取りやDNS信号の傍受、あるいは単純なDNS通信のハッキングが可能になります。DNSハイジャックは一般に、幅広いドメインネームシステムに対する最も破壊的な攻撃の1つです。

これは個人ユーザーにとっても大企業にとっても大きな問題です。個人ユーザーが標的の場合、ハイジャック犯はフィッシング詐欺(被害者に正規のWebサイトの偽バージョンを表示して、パスワードやログイン情報、クレジットカード情報などのユーザーデータを盗む犯罪)を行うことができます。一方、(たとえば企業の)消費者向けWebページが標的の場合、サイバー犯罪者は会社のWebサイトへの訪問者を、自作の詐欺ページに転送することができます。ユーザーがそのページにアクセスすると、ハッカーが作成したこれらのWebページがログイン認証情報や機密の個人データの窃盗に再び使用されます。盗まれる情報には、ビジネスの内情に関連する従業員情報や、さらに機密性の高い財務データまでもが含まれる可能性があります。この攻撃の結果、犯罪者は公式の受信メールから情報を盗みとることさえできます。全体として、DNSハイジャックは、データとプライバシーを標的とした被害の大きい攻撃となります。

興味深いことに、定評あるISP(インターネットサービスプロバイダー)や政府の多くが、ユーザーのDNSリクエストを乗っ取るために、ある種のDNSハイジャックを使用しています。ISPがこれを行う目的は、統計情報の収集と、不明のドメインスペースにアクセスしたユーザーに広告を配信するためです。エラーメッセージを表示する代わりに、広告を掲載した自社のWebサイトにユーザーをリダイレクトさせるのです。また、政府がDNSハイジャックを行うのは、検閲や、政府公認のWebドメインやページにユーザーを安全にリダイレクトさせるためです。

DNSハイジャックの仕組み

ブラウザーにWebサイトのアドレスを入力すると、ブラウザーはローカルブラウザーのキャッシュからそのWebページの情報を収集するか(最近そのサイトを訪問した場合)、ネームサーバー(通常は信頼できるインターネットサービスプロバイダーが提供するネームサーバー)にDNSクエリを送信します。DNSリクエストを送信するブラウザーとネームサーバーの応答との間の通信ポイントは暗号化されていないため、攻撃に対して最も脆弱です。ハッカーはこの段階でクエリを傍受し、ユーザーを悪意のあるWebサイトにリダイレクトして恐喝します。現在、サイバー犯罪者が使用するDNSハイジャックには、「ローカル」、「ルーター」、「不正」、「中間者」という4つのタイプがあります。

ローカルハイジャック:ハッカーがシステムにトロイの木馬型マルウェアをインストールし、ローカルのDNS設定を攻撃するものです。攻撃後、ハッカーはこれらのローカル設定を変更し、(たとえばデフォルトのサーバーの代わりに)独自のDNSサーバーを直接ポイントするように設定できます。ここから、被害者のブラウザーからのすべてのリクエストがハッカーのサーバーに送られます。このリクエストに対し、ハッカーは好きな応答を返すことができます。他の悪質なWebサーバーに誘導することもあります。

ルーターハイジャック:一部の人にとっては意外かもしれませんが、ルーターのハイジャックは多くのサイバー犯罪者にとって最初の攻撃ポイントとなります。この理由は、多くのルーターでデフォルトのパスワードやファームウェアの既存の脆弱性が放置されているためです。ハッカーはこれを容易く発見できます(多くの企業は、ルーターに個別のログイン認証情報を設定する手間をかけていません)。ハッカーはログイン後、DNS設定を変更し、優先DNSサーバー(通常はハッカー自身が所有するもの)を指定して、WebアドレスからIPアドレスへの変換をハッカーのみが制御できるようにします。ここから、ユーザーのブラウザーのリクエストは悪意のあるサイトに転送されます。影響を受けるのは1人のユーザーだけでなく、感染したルーターに接続しているすべてのユーザーに影響を及ぼすため、特に深刻です。

不正ハイジャック: このタイプのサイバー犯罪は、ローカルハイジャックよりもはるかに複雑です。標的のデバイスからは制御できないためです。その代わりに、ハッカーはISPの既存のネームサーバーを乗っ取り、選択したエントリーを変更します。その結果、疑うことを知らない被害者は、正しいと思われるDNSサーバーにアクセスしますが、このサーバーは実際にはハッカーが侵入しています。続いてサイバー犯罪者はDNSレコードを変更して、ユーザーのDNSリクエストが悪意のあるWebサイトにリダイレクトされるようにします。ISPは高度なサイバーセキュリティ基準を採用しているため、この攻撃は非常にまれで、実行するのは困難です。実際にこの攻撃が起こった場合、このサーバーを経由してクエリを解決するユーザー全員が被害者となる可能性があるため、膨大な数のユーザーが影響を受ける可能性があります。

中間者攻撃このタイプの攻撃は、ユーザーとDNSの間の通信を傍受することに主眼を置いています。多くのDNSリクエストには暗号化が施されていないため、ハッカーは専門のツールを使用してクライアントとサーバーの間の通信を遮断します。そして、リクエスト元のユーザーに、悪意のあるWebサイトをポイントする別の宛先IPアドレスを提供します。この手法は、ローカルデバイスとDNSサーバー本体の両方に対するDNSキャッシュポイズニング攻撃の一種としても使用できます。結果は上記とほぼ同じです。

DNS攻撃が検知されたことを示す画面。

DNSハイジャックを検知する方法

幸いなことに、さまざまな方法で、DNSがハッキングされていないかを簡単に確認できます。まず知っておくべきなのは、日常的に使うWebサイトの読み込みが一貫していつもより遅かったり、不規則なポップアップ広告(一般的にはコンピューターが「感染」していることを知らせるもの)がいつもより多く表示されたりする場合、DNSがハッキングされている可能性があるということです。ただし、こうした症状だけで断定することはできません。そこで、ご自分のマシンでできる実践的なテストをいくつかご紹介します。

「pingコマンド」テストを行う

pingコマンドは基本的に、あるIPアドレスが実際に存在するかどうかを確認するために使用するものです。ブラウザーが存在しないIPアドレスにpingを送り、これがまだ解決される場合、DNSがハッキングされている可能性が高いと言えます。このテストはMacでもWindowsでも可能です。Macでは、次の簡単な方法で実行できます。

ターミナルを開き、以下のコマンドを入力します:

Ping kaspersky123456.com

「cannot resolve」と表示された場合、DNSは正常です。

Windowsコンピューターを使っている場合、やるべきことはただひとつです。

コマンドプロンプトを開き、次のように入力します:

ping kaspersky123456.com

「cannot resolve」と表示された場合、DNSは正常です。

ルーターをチェックするか、「ルーターチェッカー」を使用する

次のテストは、多くのオンラインサイトで提供されています。デジタルルーターチェッカーサービスは、信頼できるDNSリゾルバーでシステムをチェックし、承認されたDNSサーバーを使用しているかどうかを確認します。または、オンラインでルーターの管理ページにアクセスし、そこでDNS設定を確認することもできます。

WholsMyDNS.comを使用する

このオンラインサービスでは、使用しているDNSサーバーとその所有会社が表示されます。一般に、ブラウザーはISPが提供するDNSサーバーのIPアドレスを使用します。見覚えのない会社名であれば、DNSが乗っ取られている可能性があります。

DNSサーバーがハッキングされていることに気づいた場合や、以前にハッキングされたことがある場合は、Google Public DNSサーバーのような代替のパブリックDNSサービスを使用することを推奨します。

DNSハイジャックを防ぐ方法

DNSハイジャックがローカル、ルーター、不正のいずれのタイプであっても、そもそも一番大切なのはハッキングの被害にあわないようにすることです。幸い、DNSのセキュリティとデータセキュリティを総体的に強化するための対策は数多くあります。

不審なリンクや見慣れないリンクは絶対にクリックしない:これには、メールやテキストメッセージに記載されたリンクや、ソーシャルメディア経由で送られてくるリンクが含まれます。URL短縮ツールは、危険なリンク先を覆い隠してしまう可能性があるため、できるだけ使わないようにしましょう。手間がかかるかもしれませんが、ブラウザーにURLを手入力することを選ぶべきです(必ず、正当なリンクであることを確認した後で行います)。

定評のあるアンチウイルスソフトウェアを使用する:常に推奨されるベストプラクティスとしては、定期的にコンピューターのマルウェアをスキャンし、プロンプトが表示されたらソフトウェアをアップデートします。特に、ローカルハイジャック中にトロイの木馬型マルウェアに感染した場合は、システムのセキュリティソフトウェアがDNSハイジャックによる感染を発見し、取り除いてくれます。悪意のあるWebサイトはあらゆる種類のマルウェアやアドウェアプログラムを配信する可能性があるため、ウイルスやスパイウェア、その他の隠れた問題がないか定期的にスキャンする必要があります。

バーチャルプライベートネットワーク(VPN)を使用する:VPNは、Webサイトのすべてのクエリとトラフィックのために、暗号化されたデジタルトンネルを提供します。定評あるVPNのほとんどは、エンドツーエンドで暗号化されたリクエストのみを使用するプライベートDNSサーバーを使用して、ローカルマシンとそのDNSサーバーを保護します。これにより、サーバーが妨害されることなくリクエストを受け付けられるようになり、中間者によるDNSハイジャックの可能性を大幅に減らすことができます。

ルーターのパスワード(およびユーザー名)を変更する:これは比較的簡単で当たり前のことのように思えますが、多くのユーザーはこの予防措置を取っていません。前述したように、ルーターのデフォルトのログイン情報が変えられていることは少ないため、クラックするのは非常に簡単です。新しいパスワードを作成するときは、常に「強固な」パスワード(10~12文字程度で、特殊文字、数字、大文字、小文字が混在しているもの)を使用することを推奨します。

注意:気づいたら見慣れないWebサイトにアクセスしていて、見たこともないようなポップアップやランディングページ、タブの数々が表示されたら、すぐにそのページから離れましょう。デジタルの警告サインを認識することは、サイバーセキュリティの強化に向けた第一歩です。

ただし、Webサイトの所有者であれば、DNSハイジャックを防ぐ方法がいくつかあります。

DNSへのアクセスを制限する:DNS設定にアクセスできる人を専任のITチームの一部のメンバーに制限することで、機に乗じたサイバー犯罪者がチームメンバーを利用する可能性を制限できます。また、この選ばれた数人がDNSレジストラにアクセスするときに、必ず二要素認証を使用することを徹底させます。

クライアントロックを有効にする:一部のDNSレジストラは、承認なくDNSレコードを変更することを防ぐ「クライアントロック」をサポートしています。できる限り有効にすることを推奨します。

DNSSECをサポートするレジストラを使用する:ドメインネームシステムセキュリティ拡張(DNSSEC)は、DNSが「検証された本物である」ことを示すラベルの一種で、DNSルックアップの信頼性の維持に役立ちます。ハッカーにとっては、DNSのリクエストを傍受することが難しくなります。

DNSハイジャックやその他のマルウェア攻撃に対する脆弱性を解消しましょう。カスペルスキーのセキュリティソリューションにより、複数のデバイスでオンラインアクティビティを安全かつプライベートに保つことができます。ぜひ詳細をご確認ください。

DNSハイジャックに関するFAQ

DNSハイジャックとは何ですか?

ドメインネームシステムのハイジャックは、DNSリダイレクト攻撃としても知られており、被害者のブラウザーから送信されたDNSクエリが傍受され、不正に解決されることで、ユーザーが悪意のあるWebサイトにリダイレクトされます。DNSのハイジャックは、マルウェアによってローカルで、ルーター経由で、傍受によって、またはネームサーバー経由で行われる可能性があります。

DNSハイジャックはどのような仕組みで行われますか?

DNSハイジャックは、DNSリクエストを送信するブラウザーとネームサーバーの応答との間の通信ポイントを攻撃することで機能します。この時点で、ハッカーはあなたを恐喝のための悪意のあるウェブサイトのいずれかにリダイレクトすることができます。

DNSハイジャックを阻止するにはどうすればよいですか?

DNSハイジャックを阻止・防止するには、いくつもの方法があります。個人ユーザーの場合、不審なリンクをクリックしたり、ポップアップの多いドメインを訪問したりしないようにします。また、優れたアンチウイルスソフトウェアを使い、ルーターのユーザー名とパスワードを変更し、WebアクセスにはVPNを使用する必要があります。

関連製品:

Kaspersky Security for Small Businesses

Kaspersky Security for Medium Businesses

Kaspersky Enterprise Security

Kaspersky Password Manager

関連記事やリンク:

MacとPCのコンピューターセキュリティのアドバイス

DNSスプーフィングとキャッシュポイズニングとは?

マルウェアの種別とマルウェアの例

ドメイン名(DNS)ハイジャック攻撃とは?

DNSハイジャック攻撃とはどのようなもので、検知して防止するにはどうすればよいのかを確認したい場合、クリックしてDNSハイジャックに関するすべての情報をご覧ください。
Kaspersky logo