ポイズニング攻撃 ぽいずにんぐこうげき
DNSポイズニングキャッシュポイズニングARPポイズニングSEOポイズニングサプライチェーン攻撃なりすまし
ポイズニング攻撃について教えて
簡単に言うとこんな感じ!
「毒を盛る」攻撃だよ!正しい情報が格納されている場所にこっそり偽の情報を混入させて、気づかないうちに被害者を騙したり、偽サイトに誘導したりするんだ。水道に毒を混ぜるイメージそのままだよ!
ポイズニング攻撃とは
ポイズニング攻撃(Poisoning Attack)とは、システムやネットワークが参照するデータの「信頼できるはずの情報源」に偽の情報を混入(=毒を盛る)することで、利用者や機器を意図しない方向へ誘導するサイバー攻撃の総称です。
「毒(Poison)」という名が示すとおり、攻撃者は正面から侵入するのではなく、普段は疑われることのないデータの流れや仕組みそのものを汚染するのが特徴です。利用者は正常な操作をしているつもりでも、すでに汚染された情報を参照してしまっており、気づきにくいのが厄介なところです。
企業のシステム発注・運用の観点では、DNSの設定ミスやキャッシュの管理不足がポイズニングの入口になることが多く、「何かおかしい」と感じたときにはすでに情報漏洩や不正アクセスが進んでいるケースもあります。仕組みと対策の両方を理解しておくことが、被害を最小限にするための第一歩です。
ポイズニング攻撃の種類と仕組み
ポイズニング攻撃は「何に毒を盛るか」によっていくつかの種類に分かれます。
| 種類 | 汚染するもの | 攻撃の概要 |
|---|---|---|
| DNSキャッシュポイズニング | DNSサーバーのキャッシュ | 偽のIPアドレスを登録し、正規サイトのふりをした偽サイトに誘導 |
| ARPポイズニング | ネットワーク機器のARPテーブル | 偽のMACアドレスを流して通信を横取り(中間者攻撃) |
| SEOポイズニング | 検索エンジンの検索結果 | 悪意あるページを検索上位に表示させ、マルウェアに誘導 |
| BGPハイジャック | インターネットの経路情報 | 通信ルートをまるごと乗っ取り、トラフィックを盗聴・改ざん |
| AIモデルポイズニング | 機械学習の学習データ | 訓練データに偽データを混入し、モデルの判断を狂わせる |
| サプライチェーンポイズニング | ソフトウェアの配布経路 | 正規のアップデートや依存ライブラリに悪意あるコードを混入 |
覚え方:「毒を盛る場所=信頼されている場所」
ポイズニング攻撃のコツは「誰もが信じて疑わない場所に毒を盛る」という点です。DNS、ARP、検索結果……どれも「正しいはずだ」と思って参照するもの。そこを狙うから怖いんです。
語呂合わせ:「毒盛りは、信頼の隙間に入り込む」
DNSキャッシュポイズニングの流れ
【正常な流れ】
ユーザー → DNSサーバーに問い合わせ → 正しいIPを返す → 正規サイトに接続
【ポイズニング後の流れ】
攻撃者がDNSキャッシュに偽IPを書き込む
↓
ユーザー → DNSサーバーに問い合わせ → 偽のIPを返す → 偽サイトに接続!
(ユーザーは気づかない)歴史と背景
- 1990年代初頭 — DNSが広く普及し始め、DNSキャッシュの汚染という概念が研究者の間で議論されるようになる
- 2008年 — セキュリティ研究者のダン・カミンスキーがDNSキャッシュポイズニングの深刻な脆弱性(カミンスキー攻撃)を発見・公表。世界中のDNSサーバーに緊急パッチが適用された
- 2010年代 — SEOポイズニングが急増。ニュースや災害に便乗した検索ワードを悪用し、マルウェア配布サイトを上位表示させる手法が横行
- 2020年 SolarWinds事件 — IT管理ソフトのアップデートにバックドアが仕込まれ、米国政府機関を含む数万組織が被害を受けるサプライチェーンポイズニングの代表事例として記憶される
- 2020年代〜 — 生成AI・機械学習の普及に伴い、AIモデルへのデータポイズニングが新たな脅威として注目され始める
DNSポイズニングと関連攻撃の対応関係
ポイズニング攻撃はネットワーク・Web・AIと幅広い領域にまたがります。代表的な攻撃と対策を整理します。
ビジネス担当者が特に注意すべきポイント
- DNSキャッシュポイズニング:会社のWebサイトや社内システムへのアクセスが偽サイトに向けられるリスク。DNSSEC(DNSレスポンスに電子署名をつける仕組み)の導入が基本対策
- サプライチェーンポイズニング:ベンダーが提供するソフトウェアアップデートが汚染されるケース。導入するソフトウェアの出所とコード署名の確認が重要
- SEOポイズニング:社員が検索結果の上位をクリックしてマルウェアに感染する。URLをよく見る習慣とWebフィルタリングが有効
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 4033 | DNSSEC — DNSのセキュリティ拡張の概要・要件定義 |
| RFC 4034 | DNSSEC — リソースレコードの電子署名仕様 |
| RFC 4035 | DNSSEC — プロトコル変更と実装仕様 |
| RFC 5452 | DNSキャッシュポイズニング対策としての送信元ポートランダム化 |
| RFC 826 | ARP(Address Resolution Protocol)の基本仕様 |
関連用語
- DNS(ドメインネームシステム) — ドメイン名をIPアドレスに変換する仕組み。ポイズニングの主要な標的
- DNSSEC — DNSに電子署名を付加してキャッシュポイズニングを防ぐ仕組み
- ARP(アドレス解決プロトコル) — IPアドレスとMACアドレスを対応付けるプロトコル。ARPポイズニングの対象
- 中間者攻撃(MitM) — 通信の送受信者の間に割り込んで盗聴・改ざんする攻撃。ARPポイズニングの発展形
- フィッシング攻撃 — 偽サイトに誘導して認証情報を騙し取る攻撃。DNSポイズニングと組み合わせて使われる
- サプライチェーン攻撃 — 正規のソフトウェア配布経路を悪用してマルウェアを配布する攻撃
- マルウェア — 悪意あるソフトウェアの総称。ポイズニング攻撃の目的として配布されることが多い
- EDR(エンドポイント検出・対応) — 端末上での不審な動作を検知・対応するセキュリティソリューション