戦国IT - 情報処理技術者試験の過去問対策サイト
お知らせお問い合わせ料金プラン

応用情報技術者 2018年 秋期 午前239

問題文

DNSキャッシュサーバに対して外部から行われるキャッシュポイズニング攻撃への対策のうち、適切なものはどれか。

選択肢

外部ネットワークからの再帰的な問合せにも応答できるように、 コンテンツサーバにキャッシュサーバを兼ねさせる。
再帰的な問合せに対しては、内部ネットワークからのものだけを許可するように設定する。(正解)
再帰的な問合せを行う際の送信元のポート番号を固定する。
再帰的な問合せを行う際のトランザクションIDを固定する。

DNSキャッシュサーバのキャッシュポイズニング対策【午前2 解説】

要点まとめ

  • 結論:再帰的な問合せは内部ネットワークからのものだけ許可し、外部からの攻撃を防ぐことが重要です。
  • 根拠:キャッシュポイズニングは外部からの偽の応答を受け入れることで発生し、再帰的問合せの制限が有効な防御策となります。
  • 差がつくポイント:再帰的問合せの許可範囲を適切に設定し、送信元ポートやトランザクションIDの固定は逆効果や無意味な場合がある点を理解しましょう。

正解の理由

の「再帰的な問合せに対しては、内部ネットワークからのものだけを許可するように設定する」は、DNSキャッシュサーバが外部からの再帰的問合せを受け付けないようにすることで、外部からのキャッシュポイズニング攻撃を防止できるため正解です。外部からの再帰的問合せを許可すると、攻撃者が偽のDNS応答を送り込みやすくなります。

よくある誤解

再帰的問合せの送信元ポートやトランザクションIDを固定すれば安全になると誤解されがちですが、これらは攻撃者にとって逆に予測しやすくなり、セキュリティを低下させる恐れがあります。

解法ステップ

  1. DNSキャッシュサーバの役割と再帰的問合せの意味を理解する。
  2. キャッシュポイズニング攻撃の仕組みを把握し、攻撃経路を特定する。
  3. 外部からの再帰的問合せを許可すると攻撃リスクが高まることを認識する。
  4. 再帰的問合せを内部ネットワークに限定する設定が有効な対策であると判断する。
  5. 送信元ポートやトランザクションIDの固定が逆効果であることを確認する。

選択肢別の誤答解説

  • ア: 外部ネットワークからの再帰的問合せを許可すると、攻撃者が偽の応答を送り込みやすくなり、キャッシュポイズニングのリスクが増大します。
  • : 正解。再帰的問合せを内部ネットワークに限定し、外部からの攻撃を防ぎます。
  • ウ: 送信元ポート番号を固定すると、攻撃者にポート番号を予測されやすくなり、攻撃成功率が上がるため推奨されません。
  • エ: トランザクションIDを固定すると、攻撃者がIDを推測しやすくなり、セキュリティが低下します。

補足コラム

DNSキャッシュポイズニングは、DNSの応答を偽装してユーザーを悪意あるサイトに誘導する攻撃です。再帰的問合せとは、DNSサーバが問い合わせを受けた際に他のDNSサーバに問い合わせを代行する動作であり、これを外部に開放すると攻撃の入口となります。近年ではDNSSECなどの技術も対策として注目されています。

FAQ

Q: 再帰的問合せとは何ですか?
A: DNSサーバが問い合わせを受けた際に、他のDNSサーバに問い合わせを代行し、最終的な応答を返す動作です。
Q: なぜ送信元ポート番号を固定すると危険なのですか?
A: 固定すると攻撃者がポート番号を予測しやすくなり、偽の応答を送り込みやすくなるためです。
関連キーワード: DNSキャッシュサーバ、キャッシュポイズニング、再帰的問合せ、DNSセキュリティ、トランザクションID
← 前の問題へ次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

応用情報技術者
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてプライバシーポリシー利用規約特商法表記開発者について