このページで: [隠れる]
ホスティングプロバイダーからメールが届きます. 件名: “必要なアクション: ドメインを DNSSEC にアップグレードします。” ロゴが合ってる, 送信者の名前は正しいようです, そしてメッセージは、DNS セキュリティ拡張機能を無料でアクティブ化する必要があることを説明します. リンクをクリックすると、, アップグレードウィザードのような画面にWordPressのパスワードを入力します, そしてあなたの一日を続けてください. 2時間後, 他人があなたのウェブサイトを管理している.
まさにそのシナリオが実行されました 2020 ソフォスの研究者が WordPress サイト所有者をターゲットとしたフィッシング キャンペーンを文書化したとき. 詐欺師は、WHOIS データを収集して、各被害者の実際のホスティング プロバイダーに一致するようにすべての電子メールをカスタマイズしました。. 6年後, DNS ベースの攻撃は悪化している. IDC/EfficientIP グローバル DNS 脅威レポートによると, 90% 少なくとも 1 回の DNS 攻撃を経験した組織の割合, 平均コストは 米ドル 1.1 1件あたり100万.
簡単な回答: DNSSEC は DNS レコードに暗号署名を追加します, スプーフィングとキャッシュポイズニングの防止. ただし、それは 1 つの攻撃ベクトルのみをカバーします. 完全な DNS 保護には、ホスティング アカウントの 2 要素認証が必要です, 暗号化されたDNSリゾルバー (Cloudflare 1.1.1.1, クアッド9 9.9.9.9), を装ったフィッシングメールを見分ける方法を知る “セキュリティのアップグレード。”
最終レビュー済み: 4月 2026. 攻撃データとDNSSEC統計を検証.
一目でわかる脅威
- 脅威の種類: DNSスプーフィング, キャッシュポイズニング, フィッシング, ドメインハイジャック
- 誰がターゲットになるのか: ウェブサイト所有者, WordPress 管理者, ドメインを持っている人なら誰でも
- 規模: 90% DNS 攻撃を受けた組織の割合; 70,000+ ドメインがハイジャックされた を介して “座っているアヒル” テクニックだけで
- 攻撃あたりの平均コスト: 米ドル 1.1 100万 (IDC/効率的なIP 2023)
- DNSSECの採用: それだけ 4.27% 世界中のドメインの数 (2月 2026)
- キーディフェンス: 2すべてのホスティング アカウントの FA, 安全なDNSリゾルバー, DNSSEC がサポートされている場合, そして決してクリックしないでください “アップグレード” メール内のリンク
DNS 攻撃の仕組み
すべての Web サイト訪問は DNS ルックアップから始まります. ブラウザはリゾルバーに問い合わせます “このドメインの IP アドレスは何ですか?” 答えは到着するまでに複数のサーバーを経由します. そのチェーン内の各ホップは潜在的な操作ポイントになります. 攻撃者は偽の DNS レコードを挿入することでこれを悪用します。, 訪問者を正規サイトの偽コピーにリダイレクトする, または検索を完全に遮断する.
4つの攻撃タイプが最も頻繁に出現します:
DNSスプーフィングとキャッシュポイズニング
攻撃者は破損した DNS データをリゾルバーのキャッシュに挿入します. ユーザーがウェブサイトにアクセスしようとしたとき, 代わりに偽のバージョンに送信されます. 本当の危険? 訪問者のブラウザにはドメイン名が表示されます。, したがって、彼らには何かが間違っていると疑う明白な理由がありません. ログイン認証情報, 支払詳細, 個人データは直接攻撃者の手に渡ります.
DNSハイジャック
キャッシュを汚染する代わりに, ハイジャッカーは DNS レコードまたはサーバーを直接制御します. The “座っているアヒル” 攻撃が良い例です. Infoblox による文書化: 2024, 誤って構成されたドメイン委任を悪用します. 以上 70,000 ドメインはすでに乗っ取られています こちらです. 別 800,000 脆弱なままである. 1 つの脅威グループ, “ヘイスティホーク,” ハイジャックされたドメインを使用して DHL フィッシングを実行した 200+ サイト.
DNSトンネリング
こいつは卑劣だ. 攻撃者は、DNS クエリ内のデータをエンコードして、情報をファイアウォールをすり抜けます。. ほとんどのネットワークでは DNS トラフィックが自由に許可されているため、, それは盲点です. 盗まれたデータが流出する, リモコンコマンドが入ってくる, 標準的なセキュリティ警告を引き起こすものは何もありません.
ファーミング
スプーフィングの静かないとこ. ファーミングはユーザーを正規の Web サイトから偽のコピーにリダイレクトします. リゾルバーレベルでの DNS ポイズニング、または被害者のデバイスの DNS 設定を変更するマルウェアを通じて機能します。. それを捕まえる一つの方法: 基盤となるドメインが一致しないため、パスワード マネージャーはファーミング ページに自動入力しません.
DNSSEC が実際に行うこと (しません)
DNSSEC (ドメインネームシステムのセキュリティ拡張機能) DNS レコードに暗号署名を追加します. 不正開封防止シールと考えてください. DNS リゾルバーが署名付き応答を受信したとき, データが実名サーバーからのものであり、転送中に変更されていないことを検証できます. これにより、ルート DNS サーバーから特定のドメインまでの信頼のチェーンが作成されます。.
何が止まるのか:
- DNSキャッシュポイズニングとスプーフィング (偽造された DNS 回答は有効な署名がないため拒否される)
- DNS 応答に対する中間者攻撃
- 権限のあるサーバーを装った攻撃者による応答の偽造
役に立たないもの (そしてこれも同じくらい重要です):
- DDoS攻撃 (DNSSEC 認証, トラフィックはフィルタリングされません)
- データの機密性 (DNS クエリは、ネットワークを監視しているすべてのユーザーに表示されたままになります; DNSSEC は署名しますが、暗号化はしません)
- 類似ドメインを介したフィッシング (詐欺師のドメインにも完全に有効な DNSSEC が設定されている可能性があります)
- DNSトンネリング (DNSSEC はレコードを検証します, クエリ内でエンコードされたコンテンツではない)
- 権威サーバーの侵害 (ソース自体がハッキングされた場合, DNSSEC は不正なデータに忠実に署名します)
結論: DNSSEC は必要な層ですが、完全なソリューションではありません. 特定の 1 つの脆弱性を閉じますが、他のいくつかの脆弱性は依然として未解決のままです。.
DNSSEC を使用している人はほとんどいません
10年以上前から販売されているにもかかわらず、, それだけ 4.27% ドメインの DNSSEC をグローバルに有効にする (DNSChkr, 2月 2026). それは 10.3 のうちの百万 240 100万. スウェーデンやデンマークなどの一部のヨーロッパ諸国が押しのけていく 50%, しかし、世界の平均検証率はちょうど 35.4%. なぜこんなに低いのか? ほとんどのウェブサイト所有者は自分でそれを有効にすることができません. それはプロバイダー側の決定です. ブラウザには目に見える信頼インジケーターはありません, だから誰もそれを要求しない. そしてここがキッカーです: DNSSEC の構成が間違っている場合は、DNSSEC がない場合よりも悪いです. 完全なドメイン障害が発生する (SERVFAIL エラー) 潔く失敗するのではなく.
The “セキュアDNS” Web サイト所有者をターゲットにしたフィッシング詐欺
この詐欺を巧妙にしているのは餌です. DNSSEC 認識自体を悪用して資格情報を盗みました. その方法は次のとおりです.
初め, 詐欺師がWHOIS記録をスクレイピング, IPアドレス, 各ターゲットのホスティングプロバイダーを識別するための HTTP ヘッダー. そして、そのプロバイダーになりすましてフィッシングメールを送信しました。, を提供する “基本的な DNS から DNSSEC への無料アップグレード。” メッセージが本物に聞こえた: “ドメインDNSをさらに優れたものにアップグレードしています, 自由に!”
リンクをクリックすると偽物が開いた “アップデートアシスタント” ホスティングプロバイダーのブランドと一致する. 正しいロゴ, 正しい配色, 作品. A “このアシスタントの使い方” ボタンにより、被害者は WordPress 認証情報を入力することができました. 提出後, 偽の進捗メッセージをシミュレート “ファイル署名” と “システムのアップグレード” ページがで終わる前に、 404 エラーまたは疑わしいリダイレクト.
結果: 攻撃者がWordPressの管理者パスワードを取得. 二要素認証なし, 彼らは被害者のウェブサイトを完全に制御できるようになりました.
誰がなりすましたのか? WordPress.com, Namecheap, HostGator, およびMicrosoft Azure. 各フィッシング ページは、base64 でエンコードされた URL パラメーターを使用してそれ自体を自動カスタマイズします。, ターゲットの実際のプロバイダーと一致する.
この攻撃パターンはなくなったのか? 全くない. DNS およびセキュリティをテーマにしたフィッシングは、緊急性をもたらすため依然として一般的です (“あなたのドメインは危険にさらされています”) 貴重な資格情報を持っている傾向にある Web サイト所有者を追跡します.
DNS の脅威の状況 2026
正直に, DNS攻撃の勢いは止まらない. 彼らはスケールアップしています. クラウドフレアが軽減されました 47.1 数百万の DDoS 攻撃 2025, a 121% 以上増加します 2024. DNS 増幅攻撃が特に急増したのは、 340%, トラフィック増幅器として悪用されるオープン DNS リゾルバーの増加が原因.
注目に値するいくつかの展開:
- シッティング・ダックスはまだ活動中です. 最初に文書化されたのは 2024, このDNSハイジャック技術は、 “足の悪い代表団” 設定ミス. 以来活動しています 2018 数十万のドメインではパッチが適用されていないままです. 脅威グループは、ハイジャックされたドメインを次の間隔でローテーションします。 30-60 日々, 検出が困難になる
- AIによる攻撃の高度化が加速. ヘイムダル警備員によると, 85% のセキュリティ専門家は、DNS 攻撃の増加は、偵察に生成 AI を使用する攻撃者によるものであると考えています, フィッシングコンテンツの生成, 攻撃の自動化
- 国家主導のDNSポイズニング. 中国関連 “回避パンダ” APT グループは、次の間で DNS キャッシュ ポイズニングを使用しました。 2022 と 2024 MgBot バックドアを配信するため, 被害者のやり方を操作する’ システムが正当なドメインを解決しました
- バインド 9 脆弱性. CVE-2025-40778 および CVE-2025-40780, 10月に明らかになった 2025, BIND を実行している公開された DNS サーバー 9 (最も広く使用されている DNS サーバー ソフトウェア) ポイズニングをキャッシュする. パッチは利用可能ですが、採用には時間がかかります
NISTも気づいた. 彼らは 3 月に SP 800-81r3 を公開しました 2026, DNS セキュリティ ガイダンスの最初の更新 13 年. 新しいフレームワークは、DNS をアクティブなセキュリティ強制レイヤーとして扱い、暗号化された DNS を義務付けます。, 保護DNS, 米国向けのフォレンジック ロギング. 連邦機関.
ウェブサイトと訪問者を保護する方法
単一のチェックボックスで DNS セキュリティを修正することはできません. 技術的な対策と認識の組み合わせが必要です. これらの手順は、サイト所有者が今すぐ実行できる最も影響の大きいアクションから始まります。.
まずホスティング アカウントとドメイン アカウントをロックダウンする
これが最も重要なステップです, 技術的な知識はまったく必要ありません. DNSSEC フィッシング詐欺は、被害者が偽のページに本物の資格情報を入力したために機能しました。. それを阻止する3つのこと:
- 有効 二要素認証 すべてのホスティングで, ドメインレジストラ, およびCMSアカウント. ハードウェアキー (ユビキー, 巨人) 最強です. 認証アプリは 2 番目に優れています. SMS コードは何もないよりはマシです
- パスワードマネージャーを使用する. URL が一致しないため、フィッシング ドメインの認証情報は自動入力されません. その不一致が自動的に警告されます
- 「DNS」や「セキュリティ」をクリックしないでください “アップグレード” メール内のリンク. 自分で URL を入力して、プロバイダーのダッシュボードに直接ログインします. 実際のアップグレードが存在する場合, そこにあるでしょう
安全な DNS リゾルバーに切り替える
デフォルトのDNSリゾルバー, 通常は ISP によって割り当てられます, 最新のセキュリティ機能が欠けていることが多い. 切り替えには約 2 分かかり、プライバシーと保護の両方がすぐに向上します.
- Cloudflare 1.1.1.1: 最速のリゾルバー 72% テストされた場所の. KPMGによるプライバシー監査を毎年実施 (43年連続). DoHおよびDoTをサポート. 使用 1.1.1.2 組み込みのマルウェアブロック用
- クアッド9 9.9.9.9: スイスの非営利団体, IPログなし. 既知の悪意のあるドメインをデフォルトでブロックします, 捕まえる 96.66% 独立したテストで (六月 2025). 259 サーバーの場所 106 国
- グーグル 8.8.8.8: 安定した稼働時間を実現する信頼性の高いグローバル インフラストラクチャ. クエリ データは、Google の一般的なプライバシー ポリシーに基づいて、プライバシーを重視した代替手段よりも長く保存される場合があります。
ドメインで DNSSEC を有効にする
レジストラと ホスティングプロバイダー DNSSECをサポート. ほとんどの主要なレジストラ (Cloudflare, Namecheap, Google ドメイン) ワンクリックアクティベーションを提供. レジストラがサポートしているがホスティングがサポートしていない場合, レジストラを通じて DNS を直接管理する必要がある場合があります.
暗号化されたDNSプロトコルを使用する
ほとんどの人はこれに気づいていません: 標準の DNS クエリは平文で送信されます. ネットワーク パス上の誰もがそれらを読み取り、変更できます. 暗号化された代替手段により問題が解決される:
- HTTPS 経由の DNS (DoH): ポート上で暗号化された HTTPS を介して DNS クエリを実行します 443. Firefox によるサポート, クロム, 角, および最新のブラウザ
- DNS over TLS (ドット): 専用ポートで DNS トラフィックを暗号化します。 (853). DNS トラフィック パターンを可視化する必要がある管理者にとって、より透明性が高くなります。
- QUIC経由のDNS (DoQ): 最新のオプション. 暗号化と低遅延を組み合わせます. まだ初期導入中
DNS 構成を監視する
訪問者が何か問題があると言うのを待つ必要はありません. レジストラまたは監視サービスを通じて DNS レコードの変更に関するアラートを設定する. 誰かがあなたの A を変更した場合, MX, またはあなたの知らないうちに NS が記録されます, その日のうちに捕まえたいのですか, 数週間後ではない. 定期的な監査により、実際の損害が発生する前に不正な変更を検出します.
インフラストラクチャを常に最新の状態に保つ
バインド 9 後半からの脆弱性 2025 リマインダーです: DNSサーバーソフトウェアも他のものと同様にパッチが必要です. 独自の DNS インフラストラクチャを実行している場合, セキュリティ勧告の最新情報を入手する. 使用する場合 VPSホスティング または専用サーバー, プロバイダーが DNS リゾルバーに直ちにパッチを適用していることを確認します.
自分がターゲットにされているかどうかを確認する方法
DNS 攻撃は必ずしもそれ自体を通知するとは限りません. あなたのサイトは現在訪問者をフィッシング ページにリダイレクトしている可能性がありますが、誰かがそれを報告しない限りわかりません。. 確認方法は次のとおりです.
DNS レコードが変更されていないことを確認する
ドメイン レジストラーにログインし、現在の A を比較します。, ああああ, MX, NS レコードは本来あるべき姿に反する. 正しい値を覚えていない場合, ホスティングプロバイダーのサポートに確認してください. あなたが変更しなかった記録は危険信号です.
不正アクセスをチェックする
ホスティングのコントロール パネルでログイン履歴を確認する, ドメインレジストラ, とWordPress管理者. 見慣れない IP アドレスまたは場所からのログインを探す. ホスティングプロバイダーがログイン履歴を提供していない場合, それが、機能するものへの切り替えを検討する理由です.
ドメインの DNS 解決をテストする
DNSChecker.org などのツールを使用して、複数の場所からドメインをクエリする. 数十のグローバル リゾルバーを一度にチェックします. 場所によって結果が異なる場合, 誰かがチェーンのどこかにキャッシュを汚染した可能性があります.
ローカル DNS マルウェアをスキャンする
一部の DNS 攻撃はドメインをまったくターゲットにしていません. その代わり, ローカルデバイスのDNS設定またはルーター構成を変更する. コンピュータが間違ったアドレスにリダイレクトしている場合, またはルーターの DNS 設定が知らないうちに変更された, マルウェアが関与している可能性があります. スパイハンター 5 (ウィンドウズ) または、SpyHunter for Mac は、悪意のあるリゾルバーを介してトラフィックをサイレントに再ルーティングする DNS チェンジャーとブラウザ ハイジャッカーを検出できます。.
ルーターの管理パネルも確認してください. DNSサーバーの設定を見てみる. ISP のサーバーまたは既知のパブリック リゾルバー以外のものを指している場合 (1.1.1.1, 8.8.8.8, 9.9.9.9), すぐにリセットし、ルーターのファームウェアを更新してください.
よくある質問
DNSとDNSSECの違いは何ですか?
DNSについて考える (ドメインネームシステム) インターネットの電話帳として: ドメイン名をIPアドレスに変換します. 問題は、1980 年代に設計され、セキュリティが組み込まれていないことです。. DNSSEC は DNS レコードに暗号署名を追加するため、リゾルバーはデータが転送中に改ざんされていないことを確認できます。. DNSがアドレスを教えてくれる; DNSSEC はアドレスが正当であることを確認します.
DNSSEC はすべての DNS 攻撃を防ぐことができますか?
近くもない. DNSSEC は、DNS 応答を認証することで DNS スプーフィングとキャッシュ ポイズニングを防止します。. それでおしまい. DDoS攻撃は止められない, 侵害されたアカウントによる DNS ハイジャック, DNSトンネリング, または、適切に登録された類似ドメインを使用したフィッシング. 複数の保護層を連携させる必要がある. 暗号化されたDNSリゾルバー, 強力な認証, DNSSEC が残したギャップを監視して埋める.
自分のドメインで DNSSEC が有効になっているかどうかを確認するにはどうすればよいですか?
これを簡単にする 2 つの無料ツール. Verisign の DNSSEC アナライザー と DNSViz どちらもドメインを入力して、DNSSEC がアクティブかどうかを即座に確認できます。, 信頼の連鎖が有効かどうか, および構成上の問題. レジストラのダッシュボードを確認することもできます. DNSSEC ステータスは通常、DNS 設定の下にあります. 記載されていない場合, レジストラがまだサポートしていない可能性があります.
心配する必要がありますか? “安全なDNSアップグレード” フィッシングメール?
を提供する電子メールを受信した場合、 “無料のDNS” また “DNSSECのアップグレード,” リンクをクリックしないでください. CMS パスワードを要求する一方的なアップグレード電子メールを正規のホストが送信することはありません. アドレスを手動で入力してプロバイダーの Web サイトにアクセスし、ダッシュボードで実際の通知を確認します. 疑問があるときは, 公式チャネルを通じてサポートに問い合わせる. ソフォスのキャンペーンは Namecheap になりすました, HostGator, およびAzure, したがって、ブランドの認知度だけでは正当性の証明にはなりません.
最終評決
目を覚まして考えている人はいない “今日は DNS セキュリティをチェックする必要があります。” 攻撃者はまさにそれを頼りにしています. DNSに障害が発生した場合, 放射性降下物は大きな打撃を与える: 訪問者のデータが盗まれる, 検索ランキングが低迷, 廃墟となった評判. それか 90% IDC/EfficientIP からの攻撃率は恐怖を与える戦術ではありません. DNS インフラストラクチャがいかに攻撃的に標的にされているかが現実です.
レジストラが DNSSEC をサポートしている場合は、DNSSEC を有効にします. で 4.27% 世界的な採用, あなたは先を行くでしょう 95% インターネットの. しかし、そこで止まらないでください. Cloudflareのような安全なリゾルバーに切り替える 1.1.1.1 またはQuad9 9.9.9.9, 暗号化されたDNSをオンにする (DoH または DoT), 2要素認証でホスティングアカウントをロックダウンします. いずれも数分以上かかりません. 一緒に, 彼らはあなたをさらに難しいターゲットにします.
覚えておいてください “セキュアDNS” フィッシング詐欺? 攻撃者はセキュリティ意識そのものを武器化した. 彼らはウェブサイトの所有者が正しいことをしたいと考えていることを期待していました. だからこのルールを守ってください: セキュリティメールのリンクをクリックして決して操作しないでください. 自分でプロバイダーのダッシュボードにアクセスします. アップグレードが本物なら, すぐそこにあるでしょう.
強力なセキュリティ機能を備えたホスティングプロバイダーの選択について詳しくは、こちらをご覧ください。, へのガイドをご覧ください。 最高のクラウドホスティングプロバイダー と 専用サーバーオプション. WordPress サイトを運営していて、管理されたセキュリティの処理を必要とする場合, 私たちの マネージドWordPressホスティング 比較には、組み込みの DNS 保護と自動更新を備えたプロバイダーが含まれます.