DNSサーバをDMZ(非武装地帯)に配置するのは一般的な構成ですが、 その場所ゆえに攻撃対象として非常に狙われやすく、適切な対策がないと深刻な被害につながります。 ✅ DNSサーバがDMZにあるときに想定される攻撃一覧 | 攻撃手法 | 内容 | 影響 |
|---|
| DNSキャッシュポイズニング | 攻撃者が偽のDNS応答を注入し、DNSキャッシュを汚染 | 利用者が偽のWebサイトへ誘導され、情報漏洩やマルウェア感染 | | DNSリフレクション攻撃(Amplification) | 攻撃者が偽装IPで大量のDNSクエリを送信 | DNSサーバがDDoS攻撃の踏み台にされ、外部への加害者になる | | ゾーン転送の不正取得(AXFR攻撃) | ゾーン転送を無制限に許可していると、ドメイン内部情報が盗まれる | サーバや内部構成の情報が外部に漏れ、標的型攻撃に発展する | | DoS / DDoS攻撃 | 大量のリクエストでDNSサーバのリソースを消費させる | DNSサービスが停止し、自ドメインにアクセス不可となる | | DNSトンネリング | DNSクエリに見せかけて、実際にはデータをやりとりする | 内部データが外部に漏洩(検知が難しい) | | バージョン情報漏洩 | `dig +short version.bind txt chaos` などでバージョンを確認される | 脆弱性を持つDNSソフトが特定され、ピンポイント攻撃される可能性 |
✅ なぜDMZ上のDNSが狙われやすいのか? * 外部公開されているため誰でもアクセス可能 * UDPベースの通信で偽装しやすく軽量 * DNS自体がインフラ中核のため、止まると企業全体が麻痺 * 攻撃の踏み台にもされやすい(リフレクション攻撃) ✅ 攻撃を防ぐための代表的な対策 | 攻撃カテゴリ | 対策内容 |
|---|
| キャッシュポイズニング | `DNSSEC` の導入、信頼できる上位DNSのみと通信、`recursion off` | | DNSリフレクション | `rate limiting`、`EDNS0`制限、不要なゾーンの応答ブロック | | ゾーン転送 | セカンダリDNS以外からの `AXFR` 要求を拒否(ACL制限) | | DoS/DDoS | ファイアウォールでのUDPフィルタ、クラウドベースのDDoS防御 | | DNSトンネリング | クエリパターンや長さの異常をIDS/IPSで検知、ログ分析 | | 情報漏洩 | バージョン非公開設定、BINDやUnboundなどの設定を最小化 |
✅ 補足:内部DNSとの役割分離 * **DMZのDNS(外部向け)とLAN内のDNS(内部向け)**は役割を分離すべき * DMZ側は基本的に外部問い合わせと自ドメインの名前解決のみ * 内部構成は公開しない、再帰問い合わせ禁止 ✅ まとめ DMZ上のDNSは「外部と内部の境界に存在する要のサーバ」であるため、 次のような構えが必要です: * 最小限の設定 * セキュアなゾーン転送設定 * DNSSECやACLなどの堅牢な対策 * IDS/IPSやWAFとの連携
| 
この記事へのコメント