DNSスプーフィングとは？その対策とDNSキャッシュポイズニングとの違い

DNS（Domain Name Service）スプーフィングとは、DNSサーバーのエントリをポイズニングし、標的となるユーザーを攻撃者のコントロール下にある悪意のあるウェブサイトにリダイレクトさせることです。DNS攻撃は、通常、公衆無線LAN（Wi-Fi）環境で発生しますが、攻撃者がARP（Address Resolution Protocol）テーブルをポイズニングし、標的となるユーザーデバイスに、特定のウェブサイトのサーバーとして攻撃者がコントロールするマシンを使用させることができる場合、どのような状況でも発生する可能性があります。この攻撃は、公衆無線LANを利用した高度なフィッシング攻撃の最初のステップであり、ユーザーを騙してデバイスにマルウェアをインストールさせたり、機密情報を漏えいさせたりすることも可能です。

ほとんどの攻撃者は、DNSスプーフィングを実行するために、あらかじめ用意されたツールを使用します。一部の脅威アクターは独自にツールを作成しますが、この種の攻撃には必要ありません。無料の公共Wi-Fiがある場所が主なターゲットですが、接続されたデバイスがある場所であれば、どのような場所でも実行が可能です。家庭や企業のネットワークもこの攻撃に対して脆弱である可能性がありますが、これらの場所では通常、悪意のある活動を検出するための監視が行われています。公衆無線LANは、設定に誤りがあったり、セキュリティが不十分であったりすることが多いため、脅威アクターにDNSスプーフィングを実行する機会を多く与えています。このため、自宅でも公共の場でも、Wi-Fiのセキュリティについて常に考えておくことが推奨されます。

攻撃者が格好の公衆無線LANを見つけた場合、DNSポイズニングの基本的な手順は次のとおりです。

• スプーフィングツールであるarpspoofを使用して、ユーザーがブラウザにドメインアドレスを入力したときに、ターゲットとなるユーザーのマシンを攻撃者のマシンに向けるように仕向けることができます。このステップは、本質的にユーザーのコンピュータ上の解決キャッシュをポイズニングします。
• 別のarpspoofコマンドを発行し、ドメインWebサーバーにクライアントのIPが攻撃者のマシンIPであると思わせます。
• 攻撃者のマシンIPをターゲットウェブサイトに向けるHOSTファイルエントリを作成します。このHOSTエントリは、ユーザーがドメイン名を要求するときに使用されます。
• ローカルの悪意のあるコンピュータに、「本物」のウェブサイトと同じ外観のフィッシングサイトを設置します。
• ネットワーク上のターゲットとなる被害者を騙して認証させたり、偽装したWebサイトのページに情報を入力させたりして、データを収集します。

この攻撃における「スプーフィング」とは、脅威アクターが、ユーザーが知っている公式サイトに似せた悪意のあるサイトを使用することを意味します。DNSはインターネット通信の重要な部分であるため、エントリのポイズニングは、攻撃者が機密データを収集するための完璧なフィッシングシナリオを提供します。脅威アクターは、パスワード、銀行情報、クレジットカード番号、連絡先、地理的なデータなどを収集することができます。

ユーザーは、このサイトが正式なものだと思うので、攻撃者はフィッシングキャンペーンを成功させることができます。なりすましサイトには、ユーザーが認識できる要素があり、サイトが偽物であることを示す危険信号がないことが望ましいとされています。なりすましサイトには意図しない危険信号が存在する可能性がありますが、ユーザーがそれに気づくことはほとんどないため、スプーフィングは個人情報を盗むのに有効な手段となっています。

DNSスプーフィング攻撃では、ユーザーがフィッシング被害に遭うことが多いため、データのプライバシーを脅かすことになります。なりすましサイトは、攻撃者の目的によって異なります。例えば、攻撃者が銀行情報を盗みたい場合、まず、人気のある銀行サイトを見つけ、コードとスタイリングファイルをダウンロードし、接続をハイジャックするために使用する悪意のあるマシンにアップロードします。

正規のサイトを利用する個人は、ブラウザに銀行のドメインを入力しますが、代わりに悪意のあるウェブサイトを開きます。ほとんどの攻撃者は、なりすましサイトがよくできていることをテストして確認しますが、時折、いくつかの小さなエラーでなりすましサイトがバレてしまうことがあります。例えば、悪意のあるウェブサイトは通常、暗号化証明書がインストールされていないため、接続は平文になります。暗号化されていない接続は、ホストサイトが銀行のウェブサイトでないことを示す明確な危険信号です。ブラウザは、接続が暗号化されていないことをユーザーに警告しますが、多くのユーザーはその警告を見逃したり無視したりして、ユーザー名とパスワードを入力してしまいます。

ユーザーがなりすましサイトにアクセスした後、パスワード、社会保障番号、プライベートの連絡先など、サイトに入力されたすべての情報が攻撃者に送信されます。十分な情報があれば、攻撃者は標的となった被害者の名前で他のアカウントを開設したり、正規のアカウントに認証してさらに多くの情報やお金を盗んだりすることが可能になります。

公衆無線LANからインターネットにアクセスするユーザーは、DNSスプーフィングに対して脆弱性があります。DNSスプーフィングから保護するために、インターネットプロバイダはDNSSEC（DNSセキュリティ）を使用することができます。ドメイン所有者がDNSエントリを設定する際、DNSSECは、リゾルバがDNSルックアップを本物として受け入れる前に必要なエントリに暗号化署名を追加します。

標準的なDNSは暗号化されておらず、変更や解決されたルックアップが正当なサーバーとユーザーからのものであることを確認するためのプログラムもありません。DNSSECは、更新を検証するプロセスに署名コンポーネントを追加し、DNSスプーフィングを確実にブロックします。DNSSECは、DNSスプーフィングがあらゆる公衆無線LANでユーザーデータのプライバシーを侵害する恐れがあるため、最近、より人気を集めています。

DNSスプーフィングとDNSポイズニングは類似していますが、両者には区別できる特徴があります。どちらもユーザーを騙して機密データを流出させるものであり、標的となったユーザーが悪意のあるソフトウェアをインストールしてしまう可能性があります。DNSスプーフィングとポイズニングはどちらも、ユーザーが公衆無線LAN上のサーバーと通信する際に、ユーザーのデータプライバシーとウェブサイト接続の安全性を脅かす危険性があります。

DNSキャッシュがポイズニングされると、IPアドレスが格納されているリゾルバまたはDNSサーバーのエントリが変更されます。つまり、インターネット上のどの場所にいるユーザーであっても、ポイズニングされたDNSサーバーのエントリを使用すれば、悪意のある攻撃者が管理するサイトへリダイレクトされることになるのです。ポイズニングされたサーバーによっては、世界中のユーザーに影響を与える可能性があります。

DNSスプーフィングとは、より広い意味でDNSレコードに対する攻撃を指す言葉です。DNSのエントリを変更し、ユーザーに攻撃者が管理するサイトへのアクセスを強制する攻撃は、エントリのポイズニングを含め、スプーフィングとみなされます。スプーフィングが行われると、攻撃者が脆弱なマシンのDNSレコードをポイズニングし、企業や個人のユーザーからデータを盗むことができるローカルネットワークに対するより直接的な攻撃につながる可能性があります。