DNSフィルタリングとは?| セキュアなDNSサーバー

DNSフィルタリングは、悪意のある、または禁止されているWebサイトやアプリケーションがユーザーデバイスに読み込まれないように、それらをDNSレベルにてブロックします。

Share facebook icon linkedin icon twitter icon email icon

DNSフィルタリング

学習目的

この記事を読み終えると、以下のことができます。

  • DNSの仕組みを理解する
  • DNSプロセスにおけるDNSフィルタリングの位置付けを理解する
  • DNSフィルタリングサービスをブロックできる攻撃のタイプを知る

DNSフィルタリングとは?

DNS Filtering

DNSフィルタリングは、悪意のあるWebサイトをブロックして、有害または不適切なコンテンツをフィルター処理するために、Domain Name Systemを使用するプロセスです。これにより、会社は、会社のデータの安全性を確保して、従業員が会社の管理下にあるネットワーク上でアクセスできるものを制御できるようになります。DNSフィルタリングはより大きなアクセス制御戦略の一部であることが多いです。

Domain Name System(DNS)とは?

Domain Name System(DNS)は、cloudflare.comのようなドメイン名を192.0.2.24のようなIPアドレスと照合します。DNSは、ユーザーがややこしい数字の羅列を記憶することなくWebサイトにアクセスできるようにするのに必要です。ちょうど人が友人の個々の電話番号を記憶しないでスマートフォンに保存するのと同じです。

ユーザーがWebサイトを開いたりWebアプリケーションにアクセスしたりするたびに、コンテンツを読み込むプロセスは、ユーザーのデバイスが正しいIPアドレスを検索した後に始まります。次のようにIPアドレスを検出する手順を踏むことで、Webサイトを読み込むことができます:

  1. ユーザーがドメイン名をブラウザーに入力すると、ユーザーのデバイスはDNSクエリを作成してDNSリゾルバーと呼ばれる特殊なWebサーバーに送信します。
  2. DNSリゾルバーは、別のDNSサーバーにクエリを実行するか、またはそのキャッシュをチェックすることで、照会されたドメイン名をIPアドレスと照合します。
  3. DNSリゾルバーは、ユーザーのデバイスへの応答で正しいIPアドレスを返します。このことを、ドメインの「名前解決」と呼びます。
  4. ユーザーのデバイスは、接続を確立してコンテンツの読み込みを開始するために、そのIPアドレスのサーバーと交信します。

DNSは、Webコンテンツへのアクセスに不可欠な要素です。DNSプロセスが行われないとコンテンツを読み込むことはできません。こうした理由から、DNSフィルタリングは、ユーザーがアクセスできるコンテンツを制御する効果的な方法とされています。

DNSフィルタリングサービスの仕組み

すべてのDNSクエリはDNSリゾルバーに送信されます。特別に設定されたDNSリゾルバーは、ブラックリストで追跡された特定のドメインに対するクエリの解決を拒否して、ユーザーがそうしたドメインにアクセスするのを阻止することで、フィルターとしての役割も果たします。DNSフィルタリングサービスは、ブラックリストの代わりにホワイトリストを使用することもできます(以下を参照)。

フィッシングを受け取った従業員が、だまされてmalicious-website.comに移動するリンクをクリックしてしまったとしましょう。従業員のコンピューターは、Webサイトを読み込む前に、DNSフィルタリングを使用して会社のDNS解決サービスにクエリを送信します。その悪意のあるサイトが会社のブラックリストに掲載されている場合、DNSリゾルバーはリクエストをブロックして、malicious-website.comが読み込まれるのを防止してフィッシング攻撃を阻止します。

DNSフィルタリングは、ドメイン名またはIPアドレスのいずれかでWebプロパティをブラックリストに追加できます:

ドメインごと:DNSリゾルバーは、特定のドメインのIPアドレスの解決または検索をまったく行いません。

IPアドレスごと:DNSリゾルバーはすべてのドメインを解決することを試みますが、IPアドレスがブラックリストにある場合、リゾルバーは要求元のデバイスに送り返します。

ブラックリストとは?

DNSフィルタリングにおけるブラックリストとは、既知の有害なドメインまたはIPアドレスのリストのことです。DNSフィルタリングベンダーは、サイバーセキュリティコミュニティ内で共有されているブラックリストに依存する、独自のブラックリストを生成する、あるいはその両方を行う場合があります。一部のDNSフィルターは、Webページも評価して、ブラックリストに自動的に追加します。たとえば、悪意のあるJavaScriptコードが、example.com上で実行されているのが確認されると、example.comはブラックリストに追加されます。

DNSは、必ずしもマルウェアやフィッシング攻撃に使用されているわけではないですが、禁止されているコンテンツや不適切なコンテンツをホストするドメインもブラックリストに追加する場合があります。たとえば、会社は成人向けコンテンツをホストするWebサイトをDNSフィルタリングブラックリストに追加することができます。

ブラックリストと逆の概念にあたるのが、許可されたドメインやIPアドレスのリストであるホワイトリストです。ホワイトリストに掲載されていないすべてのドメインまたはIPアドレスがブロックされます。

DNSフィルタリングはマルウェアやフィッシング攻撃をブロックするのにどのように役立つか?

DNSフィルタリングは、悪意のあるソフトウェアであるマルウェアが会社のネットワークやユーザーデバイスに侵入するのを防止するのに役立ちます。また、いくつかの種類のフィッシング攻撃を阻止するのにも役立ちます。

1. 悪意のあるWebサイトをブロックする

マルウェアをホストするWebサイトは、ユーザーをだまして悪意のあるプログラムをダウンロードさせるようにするか、またはドライブバイダウンロードという攻撃(Webページの読み込み時に悪意のあるソフトウェアを自動的にダウンロードさせる行為)を仕掛けます。ほかの多くの攻撃も可能です。たとえば、WebページはJavaScriptコードを実行しますが、完全なプログラミング言語であるJavaScriptは、さまざまな方法でユーザーデバイスを侵害するのに使用できます。

DNSフィルタリングは、ユーザーが悪意のあるWebページをまったく読み込まないようにすることで、この種の攻撃を防止することができます。

2. フィッシングサイトをブロックする

フィッシングサイトとは、フィッシング攻撃にてログイン認証情報を盗むために作成された偽サイトのことです。使用されるドメインは、模倣したドメインであったり、ほとんどのユーザーが疑いもしない本物そっくりなドメインであったりします。どのような方法であっても、攻撃者の目的はユーザーをだまして、認証情報を不正に入手することです。こうしたWebサイトは、DNSフィルタリングを使用してブロックすることができます。

こうした機能は、DNSフィルタリングシステムが悪意のあるIPアドレスやドメインを不良なものとして認識することを前提としています。DNSフィルタリングシステムは、こうした悪意のある行為を阻止できますが、攻撃者が新しいドメインを非常に素早く生成したら、すべてをブラックリストに追加することはできません。

DNSフィルタリングは禁止されているコンテンツをどのようにブロックするのか?

特定のコンテンツへのアクセスを制限するプロセスは、前述のプロセスと似ています。禁止されているコンテンツをホストしていることがわかっているIPアドレスやドメイン名はブラックリストに追加されているので、ユーザーはそれらにはアクセスできません。あるいは、会社が承認しているWebサイトをホワイトリストに追加して、DNSフィルタリングを使用してそれ以外のWebサイトすべてをブロックすることができます。

セキュアなDNSサーバーとは?

セキュアなDNSサーバーとは、DNSフィルタリングサービスの一環として、悪意のあるWebサイトや禁止されているWebサイトをブロックするDNSリゾルバーのことです。一部のセキュアなDNSサーバーはプライバシーを強化してユーザーデータを保護します。たとえば、Cloudflareは、24時間後にすべてのDNSクエリログを消去する1.1.1.1と呼ばれるDNS解決サービスを提供します。

DNSはセキュリティを考慮して設計されていないため、DNSフィルタリングに加えて、ほかにもDNSプロセスの安全性を高める方法があります。DNSSECプロトコルは、DNSリゾルバーが正確な情報を提供し、攻撃者によって侵害されていないことを確認するのに役立ちます。DNS over TLS(DoT)プロトコルとDNS over HTTPS(DoH)プロトコルは、攻撃者がユーザーのDNSクエリを尾行したり訪問するWebサイトを追跡したりできないようにDNSクエリやレスポンスを暗号化します。

DNSフィルタリングとWebフィルタリングの違い

Webフィルタリングは、Webトラフィックを管理する多くの方法を指す広義の用語です。DNSフィルタリングは、Webフィルタリングの一種です。ほかの種類のWebフィルタリングには、URLフィルタリング、キーワードフィルタリング、コンテンツフィルタリングなどがあります。

CloudflareはほかのDNSサービスに加えてDNSフィルタリングを提供するか?

Cloudflareは、パブリックDNSリゾルバーである権威DNSサービス、およびインターネット上で従業員がアクセスするものを制限したい会社向けであるDNSフィルタリング機能を提供します。Cloudflare GatewayはDNSフィルタリングを含むセキュアWebゲートウェイであり、ブラウザー分離やほかの技術と一緒に、社内のユーザーを保護します。Cloudflare Gatewayの詳細またはセキュアWebゲートウェイの仕組みについては、こちらをご覧ください。