DNS - インターネットの電話帳が壊れるとき

DNS (Domain Name System) は、「example.com」のようなドメイン名を IP アドレスに変換するシステムです。ブラウザに URL を入力するたびに、裏側では DNS への問い合わせが発生しています。この変換が失敗すると、IP アドレスを直接知らない限り、どの Web サイトにもアクセスできなくなります。

DNS はインターネットの「電話帳」に例えられますが、この電話帳は驚くほど脆弱です。設計上の弱点、人為的なミス、意図的な攻撃 - DNS が壊れる原因は多岐にわたり、その影響はインターネット全体に波及します。

DNS が壊れた実際の事件

Dyn への DDoS 攻撃 (2016 年 10 月)

2016 年 10 月 21 日、DNS プロバイダの Dyn が大規模な DDoS 攻撃を受け、Twitter、Netflix、GitHub、Spotify、Reddit など数百の主要サービスが数時間にわたってアクセス不能になりました。

攻撃に使われたのは Mirai ボットネット - マルウェアに感染した数十万台の IoT デバイス (Web カメラ、ルーター、DVR) が一斉に Dyn の DNS サーバーに大量のクエリを送信しました。攻撃トラフィックは最大 1.2 Tbps に達したとされています。

この事件は、多くの大手サービスが単一の DNS プロバイダに依存していたことを露呈しました。DNS という「電話帳」が 1 冊しかなければ、その 1 冊が使えなくなった瞬間にすべてが止まります。

Cloudflare の BGP リーク (2020 年)

2020 年 7 月、Cloudflare の DNS サービス (1.1.1.1) への経路が、ある ISP の BGP 設定ミスにより誤って広告され、Cloudflare の DNS に到達できないユーザーが世界中で発生しました。DNS 自体は正常でも、DNS サーバーへの「道」が壊れれば同じ結果になります。

.com のゾーンファイル破損 (2021 年)

2021 年 4 月、Verisign が管理する .com のゾーンファイルに一時的な問題が発生し、一部の .com ドメインの名前解決が失敗しました。.com は世界で最も多く使われるトップレベルドメインであり、その管理システムの障害は広範な影響を及ぼします。

DNS の構造的な脆弱性

1. 暗号化されていない平文通信

従来の DNS クエリは、UDP ポート 53 で暗号化されずに送信されます。ISP、Wi-Fi のアクセスポイント運営者、ネットワーク上の盗聴者は、あなたがどのドメインにアクセスしようとしているかを容易に傍受できます。DNS over HTTPS (DoH) や DNS over TLS (DoT) はこの問題を解決しますが、普及はまだ途上です。

2. DNS キャッシュポイズニング

攻撃者が DNS リゾルバのキャッシュに偽の応答を注入し、ユーザーを偽サイトに誘導する攻撃です。2008 年に Dan Kaminsky が発見した脆弱性は、DNS の根本的な設計上の弱点を突くもので、インターネット全体に影響する深刻な問題でした。DNSSEC (DNS Security Extensions) はこの問題への対策ですが、導入率は依然として低いままです。

3. 単一障害点の集中

DNS のルートサーバーは 13 のオペレーターが運営していますが、実際には Anycast 技術により世界中に数百のインスタンスが分散配置されています。しかし、特定の TLD (トップレベルドメイン) の権威サーバーや、特定の DNS プロバイダに障害が集中するリスクは残っています。

DNS を守る技術

  • DNSSEC: DNS 応答にデジタル署名を付与し、応答の改ざんを検知する。ただし、クエリの暗号化は行わない
  • DNS over HTTPS (DoH): DNS クエリを HTTPS で暗号化し、盗聴と改ざんの両方を防ぐ
  • DNS over TLS (DoT): DNS クエリを TLS で暗号化する。DoH と目的は同じだが、専用ポート (853) を使用する
  • 冗長化: 複数の DNS プロバイダを併用し、1 つが障害を起こしても他で名前解決を継続できるようにする

自分の DNS 設定を確認する

IP 確認さんで接続情報を確認し、DNS リークテストで自分の DNS クエリがどのサーバーに送信されているかを確認してください。ISP のデフォルト DNS を使っている場合、以下のパブリック DNS への変更を検討する価値があります。

  • Cloudflare (1.1.1.1): プライバシー重視。クエリログを 24 時間で削除
  • Google (8.8.8.8): 高速で信頼性が高い。ただし Google にクエリデータが送信される
  • Quad9 (9.9.9.9): マルウェアドメインのブロック機能付き

まとめ

DNS はインターネットの最も基本的なインフラでありながら、最も脆弱なリンクの一つです。暗号化されていない平文通信、キャッシュポイズニングの脆弱性、単一プロバイダへの依存 - これらの問題は、DoH/DoT の普及、DNSSEC の導入、DNS プロバイダの冗長化によって徐々に改善されつつあります。

DNS の仕組みとセキュリティを体系的に学びたい方には、DNS の入門書が参考になります。

この記事の関連用語

DNS ドメイン名を IP アドレスに変換するインターネットの基盤システム。 IP アドレス DNS が変換先として返す、サーバーの数値アドレス。 DNS リーク VPN 使用時に DNS クエリが暗号化トンネルの外を通る現象。 HTTPS DNS over HTTPS (DoH) の基盤となる暗号化通信プロトコル。 BGP DNS サーバーへの経路を制御するプロトコル。BGP の障害は DNS の到達性に影響する。