【真面目版】あなたのネットも狙われている？「DNS増幅攻撃」をわかりやすく解説

はじめに

名前だけ聞くと難しそうですが、仕組み自体はとてもシンプルです。この記事では、専門知識がなくても理解できるように、身近な例えを使いながら解説していきます。

そもそもDNSって何？

私たちがブラウザに「example.com」と入力すると、コンピュータはそのままでは相手のサーバーを見つけられません。実際には「93.184.216.34」のような数字の住所（IPアドレス）が必要です。この「名前から数字の住所を調べる」作業を担当しているのがDNSサーバーです。

つまり、私たちがインターネットを快適に使えているのは、裏側でDNSサーバーが常に働いてくれているおかげなのです。

DNS増幅攻撃の仕組み

想像してみてください。あなたの家に、頼んでもいない大量の宅配ピザが届き始めたとします。実はこれ、いたずらをした犯人が「あなたの住所」を差出人として、何十軒ものピザ屋に同時に注文を出したのです。ピザ屋はどこも注文通りに大量のピザを届けてきます。あなたの玄関はピザで溢れかえり、通常の生活ができなくなってしまいます。

DNS増幅攻撃もこれとまったく同じ構造です。攻撃者は以下の3つのステップで攻撃を実行します。

ステップ1：送信元の偽装 攻撃者は、問い合わせの送信元アドレスを「攻撃したい相手（ターゲット）」のアドレスに偽装します。ピザの例でいえば、注文伝票にあなたの住所を書くようなものです。

ステップ2：大量の問い合わせを送る 偽装したアドレスを使って、世界中にあるDNSサーバーに対して一斉に問い合わせを送ります。しかもこのとき、わざと返答が大きくなるような質問を選びます。たとえば「このドメインに関するすべての情報をください」という問い合わせは、数十バイトの質問に対して数千バイトもの回答が返ってきます。

ステップ3：ターゲットに大量のデータが集中する DNSサーバーは偽装されたアドレスに向けて回答を送るので、ターゲットには大量のデータが一気に押し寄せます。問い合わせの何十倍にも「増幅」されたデータが洪水のように流れ込み、ターゲットのサーバーやネットワークは処理しきれなくなってダウンしてしまいます。

このように、小さな問い合わせが大きな回答に「増幅」されることから「DNS増幅攻撃」と呼ばれています。攻撃者自身は少ない通信量で済むのに、ターゲットには膨大なトラフィックが集中するため、非常に効率の良い（攻撃者にとって都合の良い）攻撃手法なのです。

なぜ防ぎにくいのか

まず、DNSサーバーは本来誰からの問い合わせにも応じるように設計されています。これはインターネットの基本的な仕組みであり、簡単に制限するわけにはいきません。

次に、攻撃に使われるデータは「正常なDNS応答」そのものであるため、不正なデータと正常なデータを見分けることが非常に困難です。

さらに、攻撃者は送信元を偽装しているため、犯人の特定も容易ではありません。

私たちにできる対策はあるの？

まず、自宅のルーターやネットワーク機器のファームウェアを最新の状態に保つことが大切です。古い機器が「踏み台」として攻撃に利用されるケースがあるためです。また、不要なサービスやポートが開いていないか確認することも有効です。

企業やサービス提供者の視点では、DNSサーバーの設定を見直し、外部からの不要な問い合わせに応答しないようにする「オープンリゾルバ対策」が基本です。加えて、送信元アドレスの偽装を検知してブロックする「BCP38」と呼ばれるフィルタリング手法の導入も重要とされています。

おわりに

DNS増幅攻撃は、インターネットの便利な仕組みを逆手に取った巧妙な攻撃です。「ピザの大量注文いたずら」のようなシンプルな発想ですが、その被害は甚大で、過去には数百Gbpsを超える大規模な攻撃も記録されています。