DNSとは?
DNSにはどういったセキュリティ対策が必要?
DNSSECやDoH、DoTなどのDNSセキュリティについて分かりやすく解説
DNS(Domain Name System、ドメイン・ネーム・システム)とは、インターネット上でドメイン名とIPアドレスを対応付ける仕組みのことです。本記事では、DNSについての仕組みと、そのセキュリティ技術であるDNSSECやDoH、DoTについて分かりやすく解説します。
目次
- まず、DNSとは何をするものなのか?
- DNSへのサイバー攻撃
- DNSのセキュリティ技術:DNSSEC
- DNSのセキュリティ技術:DoH(DNS over HTTPS)
- DNSのセキュリティ技術:DoT(DNS over TLS)
まず、DNSとは何をするものなのか?
DNSは、インターネット上においてドメイン名とIPアドレスを結びつけるシステムです。インターネット上のコンピュータやサーバーは本来、IPアドレス(例:192.0.2.1)という数字の並びで管理されていますが、数字だけでは人間には覚えにくいため、代わりに扱いやすいドメイン名(いわゆるURL)が利用されています。DNSは、「人が理解しやすいドメイン名」と「機械が識別するIPアドレス」とを相互に変換する(=名前解決する)役割を担っています。
DNSによる名前解決の具体的な例
たとえば、ブラウザにURL(仮にA社サイトのURLとします)を入力すると、次のような流れで通信が行われます。
1.ブラウザが「A社サイトのIPアドレスを教えて」とDNSサーバーに問い合わせる。
↓
2.DNSサーバーが「A社サイトのIPアドレスは ~~~ です」と、ブラウザに返信する。
↓
3.ブラウザがそのIPアドレスに接続し、A社サイトページを表示する。
URLとIPアドレスの橋渡しを行っているのがDNSです。
DNSの主な構成要素
DNSクライアント:DNSサーバに問い合わせる側。
- スタブリゾルバ :端末(PCやスマホ)に組み込まれている最小限のDNSクライアントで、DNS問い合わせのみ行う。
DNSサーバー:リゾルバからの問い合わせを受信し、その問い合わせに返信するサーバー。
DNSサーバーは、ドメイン名とIPアドレスの対応(ゾーン情報)を管理しており、全世界のDNSサーバーはピラミッド型の階層構造を形成しています。DNSクライアントから問い合わせを受けた際、自身に該当情報がなければ、別のDNSサーバー(権威DNSサーバー)やより上位のDNSサーバーにDNS問い合わせを行います。そのため、DNSサーバー自身がDNSクライアントとして動作することもあります。
- ルートDNSサーバー:DNSサーバーの階層構造の最上位に位置するサーバー。
- TLDサーバー:.com、.jpなど、ドメインの一番右にある部分を管理する。
- 権威DNSサーバー:特定ドメインの情報を持ち、DNS問い合わせの最終回答者になる。
- キャッシュDNSサーバー:クライアントに代わって名前解決を実行し、権威DNSサーバーからの回答をキャッシュ(一時保存)する。
DNSへのサイバー攻撃
DNSはインターネットの「アドレス帳」として機能し、ほとんどの通信がDNSを介して開始されます。そのため、もし攻撃者がDNSを悪用すると、利用者を偽のサイトに誘導したり、通信内容を盗聴・改ざんされたりするリスクがあります。
DNSセキュリティは、下記のようなサイバー攻撃からシステムを守ることを目的としています。
- DNSスプーフィング:偽のDNS応答を返して、利用者を悪意あるサイトへ誘導する。
- DNSキャッシュポイズニング:DNSサーバーのキャッシュに偽情報を注入し、長期間にわたって利用者をだます。
- DNSハイジャック:ドメイン設定やルータを乗っ取り、特定のDNSサーバーに強制的に誘導。
- DNSトンネリング :DNS通信を利用してデータを外部に送信(情報漏えい)。
- DDoS攻撃(DNSアンプ攻撃):DNSサーバーを利用して大規模なトラフィック攻撃を行う。
DNSのセキュリティ技術:DNSSEC
DNSSECとは、DNSの応答データが「正しい権威サーバーから送られ、改ざんされていない」ことを保証するための拡張機能です。
従来のDNSは暗号化されていない平文で通信が行われるため、途中で改ざんされても検出できません。DNSSECでは公開鍵暗号技術を活用した電子署名を取り入れることで、受信側が公開鍵を使って情報の正当性を検証できます。これにより、「信頼できるDNSサーバーが提供した情報であること」と「通信経路で内容が改ざんされていないこと」の両方を保証します。
DNSSECを導入することで、DNSスプーフィングやDNSキャッシュポイズニングなど、偽のDNS情報を利用した脅威からシステムを保護できます。
DNSSECの課題
- 設定の複雑さ:鍵ペア(秘密鍵、公開鍵)生成、署名、上位DNSサーバーとの連携など運用負荷が高い。
- 鍵管理の手間:安全性を重視するのであれば、定期的な鍵の更新が必要。
- 普及率の低さ:上位ドメインやリゾルバが対応していない場合もある。
- 通信量の増大:署名情報が含まれるようになることでDNS応答が大きくなる。
- 設定ミスによる障害リスク:署名エラーや鍵不一致でドメインが解決不能に。
- 完全なセキュリティではない:DNSデータ改ざん防止やDNS応答元の正当性の確保はできるが、暗号化はしないため、通信の盗聴までは防げない → プライバシーの保護にはDoH/DoTで別途対応が必要
DNSのセキュリティ技術:DoH(DNS over HTTPS)
DoH(DNS over HTTPS)は、「DNSの通信内容を、暗号化されたWeb通信(HTTPS)内に含めて送受信する技術」です。
従来、DNSのやり取りは暗号化されていないため、第三者に「どのサイトへアクセスしたか」が容易に知られてしまうリスクがありました。DoHを利用することで、DNSリクエストをHTTPS通信に組み込んで隠すことができ、盗聴や改ざんを防ぐとともに、プライバシーの保護が強化されます。
DoHの課題
- ネットワーク管理が困難:通信がHTTPSに隠れるため、管理者がDNSトラフィックを監視できなくなり、フィルタリング・ログ監査・社内ネットワークでの制御が難しくなる。
- 通信遅延の可能性:HTTPS通信を経由するため、従来のDNSよりわずかに遅延が発生。
- トラブルシューティングが複雑化:通信が暗号化されているため、DNS関連の問題が生じた場合でもパケットを解析して原因を特定することが難しくなる。
- プライバシー保護の偏り:暗号化により第三者からは守られるが、DoH提供事業者には情報が集中するため、別の意味でのプライバシーリスクが発生。
DNSのセキュリティ技術:DoT(DNS over TLS)
DoT(DNS over TLS)とは、DNSの通信内容をTLS(HTTPSなどと同じ暗号化技術)で暗号化して安全に送受信する仕組みのことです。
DoHに似ていますが、DoTでは「DNS問い合わせ自体を暗号化」します。
クライアント(PCやスマートフォン)がDoT対応DNSサーバーへDNS問い合わせを行うと、DoT対応DNSサーバーは名前解決の処理を暗号化された状態で実施し、応答もTLSにより暗号化して安全に返します。DoTを導入することで、通信の暗号化による機密性の向上、改ざんの防止、さらにプライバシー保護がより強化されます。
DoTの課題
- 導入環境の制約:サーバー・クライアント双方でDoT対応が必要。
- 通信遅延の増加:TLS暗号化処理の分だけ、初回通信がわずかに遅くなる可能性。
- 設定の難易度:機器やOSごとに設定が異なり、ルーターやスマホ、PCなどで設定方法が統一されていない。
- トラブルシューティングの難化:DNS通信が暗号化されるため、管理者がDNSトラフィックを監視・解析しづらくなる。
DoTとDoHの違い
DoTとDoHはいずれもDNSの問い合わせを暗号化する技術であり、基本的な機能は共通していますが、細かな部分で異なる特徴があります。
| 比較項目 | DoT (DNS over TLS) | DoH (DNS over HTTPS) |
|---|---|---|
| 暗号化方式 | DNS通信自体をTLSで暗号化 | 暗号化されたWeb通信(HTTPS)内でDNS通信を送受信 |
| 使用ポート | 853/TCP | 443/TCP(通常のHTTPSと同じ) |
| 通信層 | トランスポート層(TCP) | アプリケーション層(HTTP) |
| 主な用途 | ネットワークやOS全体でDNS通信を暗号化 | HTTPS通信のため、ブラウザやアプリ単位でDNS通信を秘匿可能 |
| 管理のしやすさ | DoHに比べると監視・制御しやすい | HTTPSに紛れるため、フィルタリングや監視が難しい |
| メリット | 安定性が高く、全体的なネットワーク保護に向く | 個人単位でも導入しやすい |
| デメリット | 専用ポートが遮断されると利用できない | 管理者によるフィルタリングや制御が困難 |
DNSはインターネットの「アドレス帳」として重要な役割を果たしており、攻撃を受けた場合、その影響は非常に広範囲に及ぶおそれがあります。そのため、企業やサービス提供者にとっては、DNSSECによる正当性の確保や、DoH/DoTを使った通信の暗号化など、DNSセキュリティ対策の導入は欠かせないものとなっています。
弊社へのお問い合わせは、下記の著者画像横のメールアイコンから
