戦国IT - 情報処理技術者試験の過去問対策サイト
お知らせお問い合わせ料金プラン

応用情報技術者 2017年 春期 午前241

問題文

DNSキャッシュサーバに対して外部から行われるキャッシュポイズニング攻撃への対策のうち、適切なものはどれか。

選択肢

外部ネットワークからの再帰的な問合せにも応答できるように、コンテンツサ ーバにキャッシュサーバを兼ねさせる。
再帰的な問合せに対しては、内部ネットワークからのものだけに応答するよう に設定する。(正解)
再帰的な問合せを行う際の送信元のポート番号を固定する。
再帰的な問合せを行う際のトランザクション IDを固定する。

DNSキャッシュサーバのキャッシュポイズニング対策【午前2 解説】

要点まとめ

  • 結論:再帰的な問合せに対しては、内部ネットワークからのものだけに応答する設定が適切です。
  • 根拠:外部からの再帰的問合せを許可すると、攻撃者が偽の応答を送り込みやすくなり、キャッシュポイズニングのリスクが高まります。
  • 差がつくポイント:再帰的問合せの応答範囲を限定し、信頼できる内部ネットワークのみに制限することが重要です。

正解の理由

の「再帰的な問合せに対しては、内部ネットワークからのものだけに応答するように設定する」は、DNSキャッシュサーバが外部からの不正な再帰的問合せを受け付けないようにすることで、キャッシュポイズニング攻撃の入口を閉じる対策として最も効果的です。これにより、攻撃者が偽のDNS応答をキャッシュに注入するリスクを大幅に減らせます。

よくある誤解

  • 再帰的問合せの送信元ポート番号やトランザクションIDを固定すれば安全と考えがちですが、これらは攻撃者に推測されやすく、根本的な対策にはなりません。
  • 外部からの再帰的問合せを許可すると、キャッシュポイズニングのリスクが増大します。

解法ステップ

  1. DNSキャッシュサーバの役割と再帰的問合せの意味を理解する。
  2. キャッシュポイズニング攻撃の仕組みを把握し、攻撃経路を特定する。
  3. 外部からの再帰的問合せが攻撃の入口になることを認識する。
  4. 再帰的問合せの応答範囲を内部ネットワークに限定する設定が有効であると判断する。
  5. 選択肢の中でこの対策を示すものを選ぶ。

選択肢別の誤答解説

  • ア: コンテンツサーバにキャッシュサーバを兼ねさせ、外部からの再帰的問合せに応答させるのは攻撃リスクを増やすため誤りです。
  • ウ: 送信元ポート番号を固定すると、攻撃者に推測されやすくなり安全性が低下します。
  • エ: トランザクションIDを固定すると、攻撃者がIDを推測しやすくなり、むしろ攻撃を助長します。

補足コラム

DNSキャッシュポイズニング攻撃は、DNSの応答に偽情報を注入し、ユーザーを偽のサイトに誘導する攻撃です。対策としては、DNSサーバの設定で再帰的問合せの応答範囲を制限するほか、DNSSEC(DNS Security Extensions)を導入して応答の正当性を検証する方法もあります。

FAQ

Q: なぜ再帰的問合せだけを制限するのですか?
A: 再帰的問合せはDNSサーバが他のDNSサーバに問い合わせて結果を返す処理で、外部からの再帰的問合せを許すと攻撃者が偽の応答を注入しやすくなるためです。
Q: 送信元ポート番号やトランザクションIDを固定するのはなぜダメですか?
A: これらを固定すると攻撃者が値を推測しやすくなり、攻撃成功率が上がるため、むしろセキュリティが低下します。
関連キーワード: DNSキャッシュポイズニング、再帰的問合せ、DNSセキュリティ、トランザクションID, ポート番号
← 前の問題へ次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

応用情報技術者
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてプライバシーポリシー利用規約特商法表記開発者について