メインコンテンツへスキップ
DNSログの読み方 ─ 不審なドメイン通信を初動で確認する手順
チュートリアル 初級

DNSログの読み方 ─ 不審なドメイン通信を初動で確認する手順

チュートリアル 初級

DNSログで不審なドメイン通信を見つけた時に、問い合わせ元、時刻、応答、NXDOMAIN、Proxy/EDRログとの突合、報告記録までを整理。情シス・SOC・開発者が初動判断に使える確認方法をチェックリスト形式で解説します。

冒頭要約

DNSログは、端末やサーバーが「どのドメイン名を解決しようとしたか」を見るための重要な証跡です。不審なドメイン通信、マルウェア感染疑い、フィッシング後の端末確認、SaaS連携の異常調査で最初の手掛かりになります。

ただし、DNSログだけで「侵害された」「マルウェアが実行された」と断定するのは危険です。名前解決の試行と実際の接続、認証成功、ファイルアクセス、データ送信は別のログで突き合わせる必要があります。

まずやるべきことは、不審ドメインを開くことではありません。時刻、問い合わせ元、応答、ブロック状況、関連するプロキシEDRSIEMログを揃え、事実と推測を分けて記録することです。

この記事の前提

この記事は防御・確認・初動判断のためのDNSログの読み方に限定します。攻撃再現、悪用コード、探索クエリ、回避方法、実在する不審ドメインへのアクセス手順は扱いません。ログの閲覧・保全は、自社の権限、個人情報、インシデント対応規程に従ってください。


読者別の影響

DNSログは、ネットワーク担当者だけのものではありません。メール、SaaS、開発端末、サーバー、クラウド環境の確認にもつながるため、立場ごとに見るべき目的を分けると初動が速くなります。

読者影響まずやること
個人・一般社員フィッシングリンクを開いたかもしれない時に、端末が外部へ問い合わせた可能性がある自分で不審URLを再度開かず、受信時刻、クリック有無、端末名を情シスへ伝える
情シス・ヘルプデスク端末、利用者、問い合わせ先、ブロック状況を切り分ける必要があるDNSログとプロキシ/EDRログを同じ時間帯で確認する
開発者依存パッケージ、CI、開発ツールが外部APIや未知ドメインへ通信することがある正規の連携先台帳、CIログ、secret scanning通知と突き合わせる
SaaS管理者SaaS通知、OAuth連携、外部共有後に未知ドメインへの通信が続く場合があるIdP、SaaS監査ログ、条件付きアクセス、端末ログを同じタイムラインに並べる
SOC・CSIRT影響範囲、封じ込め、報告、再発防止の判断が必要になるIOCとして扱う前に、信頼度、観測範囲、関連アラートを記録する

DNSログとは何を示すか

DNSログは、一般に「問い合わせ元が、いつ、どの名前を、どのレコードタイプで問い合わせ、どの応答を受けたか」を記録します。RFC 1034/1035はDNSの基本構造とリソースレコードを定義し、RFC 9499はDNS関連用語を現行の用語集として整理しています。

実務で重要なのは、DNSログが「通信の意図または準備」を示すことです。実際にHTTP接続が成功したか、認証情報が送られたか、ファイルが外へ出たかは、DNSログだけでは分かりません。プロキシ、ファイアウォール、EDR、SaaS監査ログ、端末ログを合わせて判断します。

ログの項目何を見るか初動での意味
時刻タイムゾーン、秒単位、ログ遅延他ログとの前後関係を確認する
問い合わせ元端末IP、ホスト名、ユーザー、ネットワーク影響端末と利用者を絞る
FQDN問い合わせた完全修飾ドメイン名既知の業務先か、初見か、類似ドメインかを見る
レコードタイプA、AAAA、CNAME、MX、TXTなどWeb閲覧、メール、検証、CDN利用などの文脈を推測する
応答コードNOERROR、NXDOMAIN、SERVFAILなど解決成功、存在しない名前、障害やブロックの可能性を切り分ける
応答先IP、CNAME、ブロックページ、シンクホール実接続の有無を別ログで追う入口にする
取得経路社内DNS、Secure DNS、VPN、クラウドDNSログが全端末を網羅しているか確認する
DNSログは「点」ではなく「前後」で見る

1回だけの名前解決より、同じ端末からの繰り返し、複数端末への広がり、ブロック後の別経路通信、認証ログやEDRアラートとの連動が重要です。


まず確認すること

不審なDNSログを見つけたら、最初に「危険なドメインかどうか」を検索し続けるのではなく、社内で説明可能な事実を揃えます。以下のチェックリストをそのままチケットや初動メモへ転記できます。

確認項目チェック記録例
1. 検知元どのDNS基盤、EDR、SIEM、Protective DNS、プロキシで見つかったか社内DNS, EDR Network, Secure Web Gateway
2. 時刻JST/UTC、開始・終了、繰り返しの間隔を揃えたか2026-07-05 09:14 JST - 09:18 JST
3. 問い合わせ元端末名、IP、ユーザー、部署、管理状態を確認したかdevice-023, [email protected], 管理端末
4. ドメインFQDN、親ドメイン、類似ドメイン、正規業務先との関係を確認したかexample.invalid のような記録用表記で管理
5. 応答NOERROR、NXDOMAIN、ブロック、シンクホール、応答IPを確認したかNXDOMAIN, blocked, 10.x.x.x
6. 接続成否プロキシ、FW、EDRで実通信が成功したか確認したかHTTP接続なし, プロキシでblocked
7. 直前のきっかけメールクリック、添付開封、SaaS通知、CI実行、ブラウザ拡張更新があったか09:12に不審メールを報告
8. 横展開同じドメインを他端末・サーバー・CIが問い合わせていないか同一部署3台, CI runner 1台
9. 例外・正規理由既知のSaaS、CDN、セキュリティ製品、監視ツールの通信ではないか承認済みSaaS台帳に記載なし
10. 次アクション隔離、本人確認、パスワード変更、追加ログ保全、CSIRT連絡の要否を決めたかSOCへエスカレーション

この表で大切なのは、証跡の粒度をそろえることです。「怪しいドメインが出た」ではなく、「どの端末が、いつ、どのログで、どの応答を受け、実接続があったか未確認/確認済み」と書ける状態にします。


初動対応

やること

  • 不審ドメインやURLをブラウザで開かず、DNSログ、プロキシログ、EDRログ、メール原本、SaaS監査ログから確認する。
  • 対象端末、ユーザー、IP、時刻、ドメイン、応答、ブロック状況を1つのタイムラインにまとめる。
  • 同じドメインを問い合わせた他端末、同じ端末が問い合わせた他ドメイン、同じ時刻帯の認証成功ログを確認する。
  • 端末で不審なプロセス、ブラウザ拡張、ダウンロード、メールクリック、SaaS権限変更がないか、権限のあるログで確認する。
  • 調査対象の範囲、確認したログ、保持期限、取得できなかったログを記録する。

やらないこと

  • 不審ドメインを手元のブラウザ、スマートフォン、業務端末から直接開いて確認しない。
  • 実在する第三者のドメインに対して探索的なアクセス、スキャン、検証リクエストを送らない。
  • DNSログだけで「感染」「侵害」「無害」と断定しない。
  • チケットやチャットへCookie、APIキー、セッショントークン、メール原本の機密情報をそのまま貼らない。
  • ログ保全前に端末初期化、アプリ削除、セキュリティ製品の設定変更を急がない。

記録すべきこと

記録項目書き方
観測事実device-023 が 09:14 JST に example.invalid を問い合わせ、社内DNSでNXDOMAIN
根拠ログDNS Resolver Log, Proxy Log, EDR Network Event, IdP Sign-in Log
未確認事項実HTTP接続の有無はプロキシログで確認中
実施した対応ユーザーへクリック有無を確認, 端末のEDR詳細調査を依頼
判断者一次確認: 情シス, エスカレーション先: CSIRT

判断基準とエスカレーション条件

DNSログはノイズも多いため、危険度を「ドメイン単体の評判」だけで決めないことが重要です。以下のように、観測範囲、直前のイベント、接続成否、権限、業務影響で優先度を分けます。

優先度条件対応
複数端末で同じ未知ドメインへ繰り返し問い合わせ、プロキシ/EDRで実通信や認証成功も確認されたCSIRT/SOCへ即時連絡し、端末隔離、ログ保全、影響範囲確認を進める
フィッシングクリック直後、認証成功、MFA変更、SaaS外部共有、管理者操作が続いたアカウント保護、セッション失効、SaaS監査ログ確認を優先する
1台の端末で未知ドメインへの問い合わせがあり、ブロック済みだが繰り返しがある端末利用者確認、ブラウザ/メール/EDRイベント確認、再発監視を行う
NXDOMAINが短時間に多数出ており、通常業務やアプリ更新では説明しにくい端末・プロセス・ユーザー操作の文脈を確認し、必要に応じてEDR調査へ進む
既知SaaS、CDN、セキュリティ製品、業務アプリの正規通信として説明できる台帳へ記録し、必要なら許可ルールや監視除外の根拠を残す
ブロック済みでも対応不要とは限らない

Protective DNSやプロキシでブロックされた場合でも、端末がなぜそのドメインを問い合わせたかは別問題です。直前にメールクリック、添付開封、拡張機能更新、認証成功、別経路通信がないかを確認します。


よくある誤解

DNSログがあるなら感染している

DNSログは名前解決の記録です。ブラウザのプリフェッチ、メール本文のプレビュー、セキュリティ製品の検査、正規SaaSのCDN利用でもDNS問い合わせは発生します。感染や侵害の判断には、EDR、プロセス、プロキシ、認証、SaaS監査ログが必要です。

NXDOMAINが多いなら必ず攻撃である

NXDOMAINは「その名前が存在しない」という応答です。タイプミス、壊れた設定、アプリのリトライ、古いリンクでも発生します。ただし、短時間に大量、ランダムに見える名前、複数端末への広がり、EDRアラートとの連動がある場合は優先度を上げます。

ブロックされたから調査しなくてよい

ブロックは被害を減らす有効な防御ですが、原因調査の終了ではありません。DNSが止めた後に、別ドメイン、直接IP、VPN外、モバイル回線、別端末から通信が続いていないか確認します。

不審ドメインは開いて見れば早い

実務では、直接アクセスして確認する必要は通常ありません。アクセスによって追加のリスクやログ汚染が発生する可能性があります。組織で承認された隔離分析環境や脅威インテリジェンス基盤がない場合は、自社ログと公式・信頼できる情報源だけで初動判断します。

Secure DNSやDoHを使えばログ問題は解決する

暗号化DNSは通信のプライバシーや改ざん耐性に関係しますが、組織の検知・監査・調査には別の設計が必要です。どこで名前解決を集約し、どのログを保持し、どの端末が例外経路を使えるかを明確にします。


関連用語・関連ページ

目的内部リンク
用語を確認するDNSとはIOCとはSIEMとはSOCとはプロキシとは
ログ全体の読み方を学ぶセキュリティログの読み方SIEMとログ管理ログ分析の基礎
実務で使うフィッシング確認チェックリストインターネット公開管理画面の緊急点検チェックリスト漏えい疑い初動テンプレート
演習で確認するアクセスログ解析ミニCTFログイン失敗ログの読み取りミニCTF用語クイズ
仕組みを比較するSIEMとSOARの違いVPNとプロキシの違い

まとめ

DNSログの読み方で最初に必要なのは、難しい検索式ではありません。時刻、問い合わせ元、ドメイン、応答、実接続、関連イベントを同じ表に並べ、DNSログだけで断定しないことです。

不審なドメイン通信を見つけたら、まずログを保全し、プロキシ、EDR、IdP、SaaS監査ログと突き合わせます。クリック、認証成功、権限変更、データアクセス、複数端末への広がりがあれば、CSIRT/SOCへ早めに渡します。

次に学ぶなら、ログ全体の入口として セキュリティログの読み方 を確認し、手を動かす練習として アクセスログ解析ミニCTF へ進むと、DNSログを実務判断につなげやすくなります。


公式情報・参考情報

ESC