Windows 10以降でプロセスごとのDNSクエリを監視する方法について解説しています

月内に

Windows 10以降でプロセスごとのDNSクエリを監視する方法について解説しています

脆弱性🌐 英語ソース

📅 2026-05-23📰 nsfocus

📌 一言でいうと

Windows 10以降でプロセスごとのDNSクエリを監視する方法について解説しています。WindowsのDNS Client Service (Dnscache) の仕様により、Wireshark等のパケットキャプチャではどのプロセスがクエリを発行したか特定できないため、ETW (Event Tracing for Windows) の利用を推奨しています。具体的に、リアルタイムでPIDとFQDNを紐付けて表示できるツールとして「DNSLookupView」などの活用方法を紹介しています。

🔍該当判定

Windows 10以降のPCで、特定のアプリがどのサイト（ドメイン）に通信しているか詳細に調査したい
Wiresharkなどのツールを使っているが、通信パケットだけでは「どのソフトが通信したか」を特定できず困っている
社内PCで動作している未知のプログラムが、外部のどのサーバーにDNS問い合わせを行っているか監視したい

上記いずれにも該当しない → 静観でOK

✅該当時の対応

プロセス単位でのDNSクエリ監視が必要な場合は、ETWベースのツール（DNSLookupView等）の導入を検討してください。

📧 メール案を見る (管理者向け)

⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。

件名: 【共有】Windowsにおけるプロセス単位のDNSクエリ監視手法について

お疲れさまです。Windows環境でのDNS解析手法に関する情報共有です。

■ 概要
Windows 10以降ではDNS Client Service (Dnscache) が介在するため、従来のパケットキャプチャ（Wireshark等）では、どのプロセスがどのドメインを解決しようとしたかを正確に特定することが困難です。これを解決するためには、ETW (Event Tracing for Windows) を利用した監視が有効です。

■ 影響範囲
- Windows 10 およびそれ以降のバージョン

■ 対応手順（解析時）
1. プロセス単位のDNSクエリを特定したい場合、ETWログの収集を行う。
2. 効率的な解析のために「DNSLookupView」などのGUIツールを利用し、PIDとFQDNの紐付けを確認する。

■ 参考情報
- DNSLookupView (NirSoft)
- etw-dns (GitHub)

対応優先度: 低
対応期限: なし

Subject: [Info] Methods for Monitoring Per-Process DNS Queries in Windows

Hi all,

I am sharing technical information regarding DNS query monitoring on Windows.

■ Overview
In Windows 10 and later, the DNS Client Service (Dnscache) handles DNS requests via RPC, making it impossible to map specific processes to DNS queries using standard packet captures (e.g., Wireshark). To achieve this, Event Tracing for Windows (ETW) must be used.

■ Scope
- Windows 10 and later versions

■ Recommended Procedure (for Analysis)
1. Use ETW logs to capture DNS activity.
2. Utilize tools such as 'DNSLookupView' to map PIDs to FQDNs in real-time, which is particularly useful for short-lived processes.

■ Reference
- DNSLookupView (NirSoft)
- etw-dns (GitHub)

Priority: Low
Deadline: N/A

🔗 元の記事を読む