Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 344

DNS トンネリング

DNS トンネリング とは何ですか?

DNS トンネリングUDP/TCP 53 番ポート上の DNS クエリと応答に任意のデータを埋め込む隠蔽チャネルで、C2 やデータ持ち出しによく利用される。

DNS トンネリングは、DNS トラフィック(UDP/TCP 53 番ポート)がほぼあらゆる環境で許可され、詳細な検査がされにくいことを悪用します。マルウェアはペイロードを base32 などでサブドメインラベル(例:attacker.example.com 配下のチャンク)にエンコードし、攻撃者の権威サーバが TXT、CNAME、NULL レコードで応答やコマンドを返します。dnscat2、Iodine、Cobalt Strike の DNS C2 などがこの手法を使います。帯域は小さいものの隠密性は高めです。検知にはホスト当たりの異常なクエリ数、極端に長いラベル、サブドメインの高いエントロピー、base64/hex パターン、非典型的なレコードタイプ、脅威インテリジェンスフィードを活用します。対策には DNS プロキシ、シンクホール、レート制限、EDR/NDR の異常分析、出口側ファイアウォールで未知の DNS リゾルバへの通信を遮断することが含まれます。

  1. 01

    感染ホストが a1b2c3.exfil.attacker.com のようなクエリを送り、ラベル部に窃取データを符号化する。

  2. 02

    dnscat2 が TXT レコードを使って DNS 上にシェルを構築し、HTTP 限定の出口プロキシを回避する。

よくある質問

DNS トンネリング とは何ですか?

UDP/TCP 53 番ポート上の DNS クエリと応答に任意のデータを埋め込む隠蔽チャネルで、C2 やデータ持ち出しによく利用される。 サイバーセキュリティの ネットワークセキュリティ カテゴリに属します。

DNS トンネリング とはどういう意味ですか?

UDP/TCP 53 番ポート上の DNS クエリと応答に任意のデータを埋め込む隠蔽チャネルで、C2 やデータ持ち出しによく利用される。

DNS トンネリング はどのように機能しますか?

DNS トンネリングは、DNS トラフィック(UDP/TCP 53 番ポート)がほぼあらゆる環境で許可され、詳細な検査がされにくいことを悪用します。マルウェアはペイロードを base32 などでサブドメインラベル(例:attacker.example.com 配下のチャンク)にエンコードし、攻撃者の権威サーバが TXT、CNAME、NULL レコードで応答やコマンドを返します。dnscat2、Iodine、Cobalt Strike の DNS C2 などがこの手法を使います。帯域は小さいものの隠密性は高めです。検知にはホスト当たりの異常なクエリ数、極端に長いラベル、サブドメインの高いエントロピー、base64/hex パターン、非典型的なレコードタイプ、脅威インテリジェンスフィードを活用します。対策には DNS プロキシ、シンクホール、レート制限、EDR/NDR の異常分析、出口側ファイアウォールで未知の DNS リゾルバへの通信を遮断することが含まれます。

DNS トンネリング からどのように防御しますか?

DNS トンネリング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

DNS トンネリング の別名は何ですか?

一般的な別名: DNS C2, DNS 経由のデータ持ち出し。

関連用語

関連項目