デジタル詐欺対策ハンドブック

従来のフィッシングを超えた脅威：DNSフィッシング（ファーミング）の技術と対策

はじめに：見慣れたURLでも騙される可能性

インターネットを利用する際、私たちはドメイン名（例: www.example.com）を入力することで、そのウェブサイトがホストされているサーバーのIPアドレスを知り、接続しています。この「ドメイン名をIPアドレスに変換する」という重要な役割を担っているのが、DNS（Domain Name System）です。

従来のフィッシング詐欺は、本物そっくりの偽サイトへ誘導するために、ドメイン名を微妙に変えたり（例: example.com を exanple.com にするなど）、偽のURLを記載したメールやメッセージを送付する手法が一般的でした。しかし、近年巧妙化している「DNSフィッシング」、あるいは「ファーミング」と呼ばれる手口は、ユーザーが正しいドメイン名を入力しても、偽サイトへ誘導されるという点で、より深刻な脅威となります。

この手口は、ユーザーの入力ミスや注意力の低下に依存する従来のフィッシングとは異なり、名前解決の仕組みそのものを悪用します。そのため、デジタル技術に精通している方であっても、その技術的背景を理解し、適切な対策を講じなければ、容易に被害に遭う可能性があります。本稿では、DNSフィッシングの技術的な仕組み、主な攻撃手法、そして技術的な視点に基づいた具体的な対策について解説します。

DNSフィッシングの仕組み：なぜ正しいURLでも偽サイトに繋がるのか？

DNSフィッシングが従来のフィッシングと一線を画すのは、攻撃者がユーザーがアクセスしようとしているドメイン名の名前解決プロセスを不正に操作する点にあります。これにより、ユーザーは正規のドメイン名を入力したにもかかわらず、攻撃者が用意した偽のサーバーのIPアドレスへと誘導されてしまうのです。

この攻撃が成立するためには、いくつかの技術的な方法が存在します。主なものを見ていきましょう。

1. DNSサーバーの改ざん（DNSキャッシュポイズニング）

インターネット上のDNSの名前解決は、階層構造を持つDNSサーバー群が連携して行われます。ユーザーのPCやルーターは、まず自身が設定しているDNSサーバー（通常はプロバイダーのDNSサーバーなど）に問い合わせを行います。問い合わせを受けたDNSサーバーは、必要に応じて上位のDNSサーバーに再帰的に問い合わせを行い、最終的に目的のドメイン名に対応するIPアドレスを取得してユーザーに返します。

DNSキャッシュポイズニングは、この名前解決プロセスにおいて、攻撃者がDNSサーバーのキャッシュに偽の情報を注入する手法です。脆弱性のあるDNSサーバーに対し、巧妙に細工した応答を送りつけることで、「特定のドメイン名はこの偽のIPアドレスに対応する」という誤った情報をキャッシュさせます。一度キャッシュされてしまうと、そのDNSサーバーを利用する多くのユーザーが、正規のドメイン名でアクセスした際に偽サイトへ誘導されてしまいます。この手法は広範囲に影響を及ぼす可能性があります。

2. 家庭・企業のルーター設定の改ざん

多くの家庭や小規模オフィスで使用されているブロードバンドルーターは、内部ネットワークに対してDHCPサーバーとして機能し、接続されたデバイスにIPアドレスやデフォルトゲートウェイ、そして利用すべきDNSサーバーのアドレスを配布しています。

攻撃者は、ルーターのログインパスワードが初期設定のままだったり、脆弱性があったりする場合に、ルーターの設定画面に不正にアクセスし、配布するDNSサーバーのアドレスを攻撃者が管理する悪意のあるDNSサーバーのアドレスに書き換えることがあります。こうなると、そのルーター経由でインターネットに接続している全てのデバイスが、攻撃者の管理するDNSサーバーを参照することになり、特定のドメイン名（特にネットバンキングや主要なウェブサービスなど）の名前解決結果が偽のIPアドレスに誘導されるようになります。

3. クライアントPCのhostsファイル改ざん

コンピュータには、DNSサーバーに問い合わせる前に参照する「hostsファイル」というものが存在します。このファイルには、ドメイン名とそれに対応するIPアドレスのリストが手動で定義されており、ここに記載されている情報がDNSよりも優先されます。

攻撃者は、マルウェアなどを利用してユーザーのPCに感染し、このhostsファイルを不正に書き換えることがあります。例えば、hostsファイルに「192.168.1.100 bank.example.com」（架空の例）といった記述を勝手に追記することで、ユーザーがbank.example.comにアクセスしようとした際に、Hostsファイルの情報が優先され、偽のIPアドレス（ここでは192.168.1.100）に誘導されてしまいます。

4. マルウェアによるOSのDNS設定変更

Hostsファイルの改ざんと同様に、マルウェアが直接OSのネットワーク設定を操作し、参照するDNSサーバーのアドレスを攻撃者が指定したものに変更する手口も存在します。Windowsのネットワークアダプター設定やレジストリなどが標的となることがあります。これも、以降の名前解決が全て攻撃者の管理下で行われることにつながります。

技術的な背景：名前解決のメカニズム

なぜこれらの攻撃が有効なのでしょうか？ DNSの名前解決は、基本的にユーザーのデバイス→ルーター→ローカルDNSサーバー（プロバイダーなど）→上位DNSサーバー、という流れで行われます。どこか一箇所でも不正な情報が介入すると、最終的な名前解決の結果が狂ってしまいます。

特に、ルーターのDNS設定やクライアントPCのhosts/OS設定は、そのデバイスやローカルネットワーク内の名前解決に直接影響を与えるため、ここを改ざんされると広範囲かつ確実な誘導が可能になります。

具体的な対策：技術と設定で防御する

DNSフィッシングは、単なる注意だけでは防ぎきれない技術的な攻撃です。技術的な仕組みを理解した上で、以下の具体的な対策を講じることが重要です。

1. 信頼できるDNSサーバーの利用と設定

プロバイダーが提供するDNSサーバーが全て安全とは限りません。よりセキュリティが高く、キャッシュポイズニングなどの対策が講じられている信頼できるPublic DNSサービスを利用することを検討しましょう。

• 例:
  • Google Public DNS (8.8.8.8, 8.8.4.4)
  • Cloudflare 1.1.1.1 (1.1.1.1, 1.0.0.1)
  • Quad9 (9.9.9.9)

これらのPublic DNSは、セキュリティ対策が進んでおり、多くの場合、DNSSEC（後述）にも対応しています。ルーターの設定で、プロバイダー指定のDNSサーバーではなく、これらのPublic DNSサーバーのアドレスを手動で設定することで、ルーターを利用する全てのデバイスに適用できます。個別のPCやスマートフォンでも、ネットワーク設定から手動でDNSサーバーを設定することが可能です。

2. ルーターのセキュリティ強化

ホームルーターや企業向けルーターは、ネットワークの入り口であり、非常に重要な防御ポイントです。

• 管理パスワードの変更: 初期設定のパスワード（admin/adminなど）は必ず変更し、推測されにくい複雑なパスワード（大文字・小文字・数字・記号を含む12文字以上）を設定してください。
• ファームウェアの更新: ルーターのファームウェアにはセキュリティ上の脆弱性が見つかることがあります。メーカーのウェブサイトなどで最新情報を確認し、常に最新の状態にアップデートしてください。
• リモート管理機能の無効化: 外部からのルーター設定画面へのアクセスを可能にするリモート管理機能は、通常は不要です。設定を確認し、有効になっている場合は無効にしてください。
• WPS機能の無効化: Wi-Fi Protected Setup (WPS) は簡単にWi-Fi接続できる機能ですが、脆弱性が報告されています。WPS機能を無効にすることを検討してください。

3. OS、ブラウザ、セキュリティソフトの最新状態維持

クライアントPCのセキュリティ対策ももちろん重要です。

• OS・ブラウザのアップデート: 最新のセキュリティパッチが適用されているか確認し、常に最新の状態に保ってください。hostsファイルの改ざん防止やDNS設定変更の検知機能が含まれている場合があります。
• セキュリティソフトの導入と最新化: 信頼できるセキュリティソフト（アンチウイルス/エンドポイントプロテクション）を導入し、定義ファイルを最新の状態に保ってください。hostsファイルの不審な変更や、マルウェアによるネットワーク設定の変更を検知・防御できる場合があります。定期的なフルスキャンも有効です。
• hostsファイルの確認: 定期的にhostsファイルの中身を確認する習慣をつけましょう。WindowsではC:\Windows\System32\drivers\etc\hosts、macOS/Linuxでは/etc/hostsにあります。見慣れないIPアドレスとドメイン名の組み合わせがないかチェックし、もし不審なエントリがあれば削除してください。（編集には管理者権限が必要です）

4. DNSSECによる真正性の検証

DNSSEC（DNS Security Extensions）は、DNS応答の真正性を暗号技術によって検証する仕組みです。これにより、攻撃者が偽のDNS情報を応答しても、検証プロセスでそれが不正なものであると判断され、拒否されるようになります。

ユーザー側で直接DNSSECを有効にする設定は少ないですが、利用しているDNSサーバー（プロバイダーやPublic DNS）がDNSSECに対応しているか確認し、対応しているサービスを選択することが対策になります。また、ウェブサイト運営者側が自身のドメインに対してDNSSECを有効にすることも、ユーザー保護につながります。

5. DoH (DNS over HTTPS) / DoT (DNS over TLS) の利用

従来、DNSの名前解決要求は暗号化されずに平文で送信されていました。そのため、通信経路上の第三者によって盗聴されたり、改ざんされたりするリスクがありました。DoHやDoTは、DNS通信をHTTPSやTLSで暗号化することで、この盗聴や改ざんのリスクを低減します。

主要なブラウザ（Firefox, Chromeなど）やOS（Windows, macOS, Androidなど）はDoH/DoTに対応が進んでいます。対応しているDNSサーバー（Google Public DNS, Cloudflareなど）と組み合わせて利用することで、より安全な名前解決環境を構築できます。

6. SSL/TLS証明書の詳細確認

DNSフィッシングによって偽サイトに誘導された場合でも、その偽サイトが正規サイトと同じドメイン名のSSL/TLS証明書を取得している可能性は低い、あるいはEV証明書のような厳格な認証を受けた証明書は取得できない場合がほとんどです。

アクセスしたサイトのURLがHTTPSになっているか確認するだけでなく、アドレスバーの鍵マークをクリックして、証明書の発行者や有効期限、そして証明書の詳細情報を確認する習慣をつけましょう。特に、金融機関や重要なサービスにアクセスする際は、Extended Validation (EV) 証明書であれば組織名が表示されるなど、より信頼性の高い情報を確認できます。ただし、巧妙な攻撃者は正規サイトの証明書を悪用したり、認証局を騙して偽証明書を取得したりする可能性もゼロではないため、過信は禁物です。

最新動向と継続的な対策の重要性

サイバー攻撃の手法は日々進化しており、DNSフィッシングの手口も例外ではありません。新しい脆弱性が発見されたり、巧妙なソーシャルエンジニアリングと組み合わされたりすることで、攻撃はさらに洗練されていきます。

デジタル詐欺対策には、一度設定すれば終わり、という考え方は通用しません。OSやソフトウェアのアップデート情報は常にチェックし、利用しているセキュリティサービスやハードウェア（ルーターなど）の脆弱性情報にも注意を払う必要があります。信頼できるセキュリティ関連の情報源（公的機関、セキュリティベンダー、専門メディアなど）から最新情報を入手し、自身の環境に合わせた対策を継続的に見直していくことが不可欠です。

まとめ：技術的理解と実践で身を守る

DNSフィッシング（ファーミング）は、従来のフィッシングとは異なる技術的な側面を持つ巧妙な詐欺手法です。ユーザーが正しいURLを入力しても偽サイトへ誘導される可能性があるため、その脅威は深刻です。

この脅威から自身を守るためには、DNSの名前解決の仕組みを理解し、以下の技術的・実践的な対策を講じることが極めて重要です。

• 信頼できるPublic DNSの利用
• ルーターの強固なパスワード設定、ファームウェア更新、不要機能の無効化
• OS、ブラウザ、セキュリティソフトの継続的なアップデート
• Hostsファイルの不審なエントリの確認・削除
• 可能であればDNSSECやDoH/DoTに対応した環境の利用
• アクセス先サイトのSSL/TLS証明書の詳細確認

これらの対策を講じることで、DNSフィッシングのリスクを大幅に低減させることができます。ご自身のセキュリティ環境を見直し、周囲の方にもこれらの情報を共有することで、デジタル詐欺から大切な情報資産を守りましょう。