メインコンテンツへスキップ
DNSレコードが勝手に変わった時の初動対応:ドメイン乗っ取り・メールなりすましを確認する
チュートリアル 初級

DNSレコードが勝手に変わった時の初動対応:ドメイン乗っ取り・メールなりすましを確認する

チュートリアル 初級

DNSレコードが意図せず変更された時に、NS/MX/TXT/CNAME、ドメイン管理者、DNSSEC、証明書、メール認証、ログ保全をどう確認するか。ドメイン乗っ取り・なりすまし疑いの初動対応を整理します。

冒頭要約

DNSレコードが意図せず変わると、Webサイトの向き先、メール配送、SaaSのドメイン所有権確認、TLS証明書の発行、フィッシング対策に影響します。単なる「設定ミス」か、レジストラ・DNSホスティング・SaaS管理者アカウントの不正利用かを分けて確認する必要があります。

まずやるべきことは、すぐに画面上の値を戻すことだけではありません。現在値、期待値、変更者、変更時刻、通知メール、監査ログ、DNSSEC/DS、証明書発行履歴を保全し、どの範囲へ影響したかを確認します。

この記事では、攻撃再現や悪用手順ではなく、情シス、Web担当、開発者、SaaS管理者が「DNSレコードが勝手に変わった疑い」を受けた時の初動対応、確認方法、判断基準をチェックリスト形式で整理します。

この記事の前提

この記事は2026年7月9日時点で公開されているNIST、CISA、ICANNの公式情報を参考に、防御・確認・初動判断のために整理しています。攻撃手順、PoC、悪用コード、探索クエリ、第三者ドメインへの検証手順は扱いません。自社で管理権限を持つドメインとDNS基盤に限定して確認してください。


読者別の影響

DNSレコード変更は、ネットワーク担当だけで完結しません。Web、メール、SaaS、クラウド、証明書、広報、法務に波及しやすいため、最初から役割別に見る観点を分けると初動が安定します。

読者影響まず確認すること
個人・一般社員メールが届かない、ログイン画面やWebサイトの表示が変わる、偽サイトの疑いが生じる自分で再アクセスを繰り返さず、発見時刻、表示内容、受信メール、端末名を情シスへ伝える
情シス・Web担当ドメイン管理、DNSホスティング、CDN、Web公開、メール配送の確認が必要になるNS、A/AAAA、CNAME、MX、TXT、CAA、DSの現在値と期待値を並べる
開発者・DevOpsCI/CD、CDN、API、SaaS検証用TXT、ステージング環境の向き先に影響する直近のデプロイ、IaC変更、DNS自動化、APIトークン、レビュー済みPRを確認する
SaaS管理者Microsoft 365、Google Workspace、メール配信、IdP、CRMなどのドメイン所有権確認やメール認証に影響するSPF/DKIM/DMARC、SaaS検証レコード、管理者操作ログ、連携アプリを確認する
CSIRT・SOC不正変更、なりすまし、証明書発行、アカウント侵害、顧客影響の判断が必要になる変更履歴、監査ログ、通知、証明書、利用者影響、エスカレーション先をタイムライン化する

DNSレコード変更とは

DNSログの読み取りと、DNSレコードの変更確認は別の作業です。DNSログの読み方は「端末やサーバーが何を名前解決したか」を見るものです。一方でDNSレコード変更は、自社ドメインの権威情報やレジストラ設定が「誰によって、いつ、何に変わったか」を見る作業です。

実務で特に注意するレコードは、Webの向き先だけではありません。NSやDSは権威DNSやDNSSECに関係し、MXやTXTはメール配送・SPFDKIMDMARCに関係します。CAAは証明書発行ポリシー、CNAMEはCDNやSaaS連携、TXTはSaaSの所有権確認にも使われます。

レコード・設定影響しやすい領域初動で見る理由
NS権威DNS、ゾーン全体ゾーン全体の管理先が変わるため、影響が大きい
A/AAAAWebサイト、API、管理画面表示先や接続先が変わる可能性がある
CNAMECDN、SaaS、サブドメイン外部サービス連携やサブドメインの所有状態を確認する
MXメール受信メール配送先が変わると情報漏えいや業務停止につながる
TXTSPF、DKIM、DMARC、SaaS所有権確認メールなりすまし対策やSaaS連携の信頼性に関係する
CAATLS証明書発行想定外の認証局から証明書が発行されるリスクを確認する
DS/DNSSECDNS応答の真正性DNSSECの検証失敗や鍵不整合による障害を確認する
レジストラロック/EPP statusドメイン移管・更新・削除不正移管や不正更新の抑止状態を確認する
値を戻す前に証跡を残す

不正変更が疑われる時に、画面上の値をすぐ戻すと、変更前後の差分、変更者、通知、操作ログを失うことがあります。可用性を守るための復旧は重要ですが、復旧前後のスクリーンショット、エクスポート、チケット、担当者、時刻を残してください。


まず確認すること:DNSレコード変更チェックリスト

最初の確認では「どの値が怪しいか」だけでなく、「誰が正当な変更として説明できるか」を切り分けます。以下は、そのままインシデントチケットや変更管理メモに転記できる形式です。

確認項目チェック記録例
1. 対象ドメイン・ゾーンルートドメイン、サブドメイン、委任ゾーンを分けたかexample.invalid, app.example.invalid, marketing.example.invalid
2. 変更レコードNS、A/AAAA、CNAME、MX、TXT、CAA、DSのどれが変わったかMX, TXT(DMARC), CNAME
3. 現在値と期待値現在の公開値、社内台帳、IaC、前回エクスポートを比較したか現在値, 変更前バックアップ, IaC定義
4. 変更時刻管理画面、APIログ、通知メール、チケットの時刻をそろえたか2026-07-09 10:24 JST
5. 変更者管理者、APIトークン、委託先、SaaS自動連携を特定したか[email protected], API token, 委託先
6. 管理者ログレジストラ、DNSホスティング、CDN、SaaS、IdPのログを確認したかlogin, MFA, record update, API call
7. レジストラ状態registrar lock、clientTransferProhibited、clientUpdateProhibitedなどを確認したかclientTransferProhibitedあり, update lockなし
8. DNSSEC/DSDSレコード、署名状態、鍵更新、検証失敗の有無を確認したかDS変更なし, validation errorなし
9. 証明書発行Certificate Transparencyなどで想定外の証明書がないか確認したか新規発行なし, 発行元CA確認中
10. メール認証SPF、DKIM、DMARC、メール配送先、転送設定を確認したかMX変更あり, DMARC p=reject維持
11. SaaS所有権確認不明なTXT/CNAMEがSaaS検証用として追加されていないか確認したか未承認SaaS検証レコードなし
12. 影響範囲Web、メール、API、管理画面、顧客、社内利用者への影響を確認したかメール遅延あり, Web影響なし
13. ログ保持変更履歴、通知メール、スクリーンショット、ゾーンエクスポートを保全したかCSV export, 画面キャプチャ, チケット添付

この表で重要なのは、正当な変更の可能性も同時に確認することです。CDN切り替え、メール配信サービス導入、SaaS検証、証明書更新、委託先作業、IaCの自動反映は、悪意がなくてもDNSを変えます。変更管理の記録がない、変更者が説明できない、ログが欠けている場合に優先度を上げます。


初動対応

やること

  • レジストラ、権威DNS、CDN、SaaS、IdP、メール管理画面の監査ログを、同じ時間帯で確認する。
  • 現在のDNSゾーン、変更前バックアップ、IaC定義、変更チケット、通知メールを同じフォルダやチケットに保全する。
  • NS、MX、TXT、CNAME、CAA、DSなど、影響が大きいレコードから優先して期待値と比較する。
  • 不明な管理者セッション、MFA変更、回復メール変更、APIトークン利用、委託先操作がないか確認する。
  • 影響を受けるWeb、メール、SaaS、API、顧客導線、証明書を一覧化し、復旧と調査の担当を分ける。
  • 正当な緊急復旧を行う場合も、復旧前後の値、担当者、承認者、時刻、理由を残す。

やらないこと

  • 変更履歴を確認する前に、すべての値を手作業で上書きしない。
  • 不明な向き先へブラウザや業務端末でアクセスして安全性を確かめない。
  • 第三者ドメイン、IP、ホスティング先に対して探索的なアクセス、スキャン、検証リクエストを送らない。
  • DNSSEC、CAA、DMARCなどの意味を確認せずに削除しない。
  • DNSレコードだけで「侵害なし」「不正変更確定」と断定しない。
  • Cookie、APIキー、管理画面URL、顧客情報をチケットやチャットへそのまま貼らない。

記録すべきこと

記録項目書き方
観測事実example.invalid のMXが 2026-07-09 10:24 JST に変更されていた
根拠ログRegistrar audit log, DNS hosting activity log, IdP sign-in log, SaaS admin log
変更前後変更前値, 現在値, 期待値, 参照した台帳
変更者ユーザー名, APIトークン名, 委託先, 不明
影響メール配送, Web公開, SaaS所有権確認, TLS証明書, 顧客問い合わせ
実施操作復旧, ロック設定, セッション失効, 管理者MFA確認, 委託先確認
未確認事項証明書発行履歴は確認中, SaaS監査ログは取得待ち

ログ保全や変更前後の扱いに迷う場合は、インシデント時の証拠保全とはも合わせて確認してください。


判断基準とエスカレーション条件

DNSレコード変更は、影響範囲が小さく見えても、メール、証明書、SaaS、顧客導線へ広がることがあります。以下の条件に当てはまる場合は、情シス担当だけで閉じず、CSIRT、SOC、Web運用、メール管理者、委託先、法務へ早めに渡します。

優先度条件対応
NS、MX、CAA、DS、重要サブドメインのCNAMEが、未承認または説明不能に変更された変更履歴を保全し、復旧担当と調査担当を分けて、CSIRT/SOCへ連絡する
レジストラやDNSホスティングの管理者ログイン、MFA、回復先、APIトークンに不審な変更がある管理者セッション失効、認証情報の再確認、権限棚卸し、ログ保全を進める
想定外のTLS証明書発行、メール配送先変更、SaaS所有権確認レコード追加が確認された証明書、メール、SaaS、顧客影響を並行確認し、必要に応じて外部連絡を検討する
変更は正当そうだが、チケットや承認記録がなく、委託先・自動化・IaCの説明が揃っていない変更管理の証跡を補完し、再発防止として承認フローと通知先を見直す
TTLやキャッシュの影響で、復旧後も一部利用者に古い値が残る影響範囲、TTL、キャッシュ、問い合わせ先を記録し、利用者案内を準備する
承認済み作業で、変更者、変更時刻、チケット、台帳更新、影響確認が揃っている変更記録を残し、DNS台帳と監視条件を更新する
DNSSECは万能な管理画面防御ではない

DNSSECはDNS応答の改ざん検知に役立ちますが、正当な管理権限で誤った値や不正な値が登録された場合の承認管理を代替しません。DNSSEC、レジストラロック、MFA、変更管理、監査ログを組み合わせて運用します。


よくある誤解

Aレコードを戻せば終わり

Webの向き先だけでなく、NS、MX、TXT、CAA、DS、CNAMEも確認します。特にメール認証やSaaS所有権確認のTXTレコードは、見た目のWeb表示に影響しなくても、なりすましや外部連携の判断に関係します。

TTLが短いなら影響はすぐ消える

TTLはキャッシュの目安ですが、すべての利用者や中継DNSが同じタイミングで更新されるとは限りません。障害対応では、変更時刻、TTL、権威DNS、社内DNS、外部監視、利用者報告を分けて記録します。

DNSSECを有効にしていれば乗っ取りは防げる

DNSSECは返ってきたDNSデータの真正性検証に役立ちます。一方で、レジストラやDNS管理画面の正当な権限が悪用された場合、承認フロー、MFA、ロック、監査ログ、鍵運用の確認が必要です。

メールが届いているならMXやTXTは問題ない

メール配送が継続していても、SPF、DKIM、DMARC、転送、メール配信サービス、SaaS検証用TXTが意図せず変わっている場合があります。配送可否だけでなく、認証結果と送信元台帳を確認します。

Whoisだけ見れば管理者が分かる

WhoisやRDAPは手掛かりですが、実際の変更者や管理者操作はレジストラ、DNSホスティング、IdP、SaaS、委託先の監査ログで確認します。表示される登録情報と運用上の権限者は別に管理されていることがあります。


関連用語・関連ページ

目的内部リンク
用語を確認するDNSとはDNSSECとはCertificate TransparencyとはTLSとはPKIとは
メール認証を確認するSPFとはDKIMとはDMARCとはDMARCレポートの読み方
ログと証拠を整理するDNSログの読み方セキュリティログの読み方インシデント時の証拠保全とは
実務で使うインターネット公開管理画面の緊急点検チェックリストフィッシング確認チェックリスト漏えい疑い初動テンプレート
比較で理解するHTTPとHTTPSの違いTLSとSSLの違いVPNとプロキシの違い
演習で確認するアクセスログ解析ミニCTFログイン失敗ログの読み取りミニCTF用語クイズ

公式情報・参考情報


まとめ

DNSレコードが勝手に変わった疑いでは、設定値の復旧だけで終わらせず、誰が、いつ、どの権限で、どのレコードを、何に変えたのかを記録します。NS、MX、TXT、CNAME、CAA、DS、レジストラロック、DNSSEC、証明書、メール認証を同じタイムラインで確認することが重要です。

不明な管理者操作、想定外の証明書発行、メール配送先変更、SaaS所有権確認レコード、顧客影響が見えた場合は、早めにCSIRT/SOCや関係管理者へ渡してください。次に読むページとして、DNSの通信側を確認する DNSログの読み方 と、ログを失わないための インシデント時の証拠保全とは を合わせると、初動判断の精度を上げられます。

関連テーマを体系的に学ぶ 認証とパスキー(パスワードレス)ガイド
ESC