ホーム > 情報処理安全確保支援士試験 > 2009年秋期

情報処理安全確保支援士試験 2009年秋期午前2 問05

企業のDMZ上で1台のDNSサーバをインターネット公開用と社内用で共用している。このDNSサーバがDNSキャッシュポイズニングの被害を受けた結果,引き起こされ得る現象はどれか。

ア：DNSサーバで設定された自社の公開WebサーバのFQDN情報が書き換えられ,外部からの参照者が,本来とは異なるWebサーバに誘導される。

イ：DNSサーバのメモリ上にワームが常駐し、DNS参照元に対して不正プログラムを送り込む。

ウ：社内の利用者が,インターネット上の特定のWebサーバを参照する場合に,本来とは異なるWebサーバに誘導される。（正解）

エ：電子メールの不正中継対策をした自社のメールサーバが,不正中継の踏み台にされる。

解説

企業のDMZ上のDNSサーバがDNSキャッシュポイズニング被害を受けた場合の影響【午前2 解説】

要点まとめ

結論：DNSキャッシュポイズニングにより、社内利用者が本来とは異なるWebサーバに誘導される可能性がある。
根拠：DNSキャッシュポイズニングはDNSサーバのキャッシュ情報を書き換え、誤った名前解決をさせる攻撃であるため。
差がつくポイント：公開用と社内用を共用するDNSサーバのキャッシュ汚染は、内部利用者の通信先を偽装されるリスクが高い点を理解すること。

正解の理由

DNSキャッシュポイズニングはDNSサーバのキャッシュに偽の名前解決情報を注入し、正しいIPアドレスではなく攻撃者が指定したIPアドレスを返す攻撃です。
この問題では、DMZ上のDNSサーバがインターネット公開用と社内用で共用されているため、キャッシュが汚染されると社内利用者がアクセスする際に誤ったWebサーバへ誘導されるリスクが生じます。
したがって、社内利用者が本来とは異なるWebサーバに誘導される「ウ」が正解です。

よくある誤解

DNSキャッシュポイズニングはサーバ自体のプログラム改ざんやマルウェア感染ではなく、DNSの名前解決情報の偽装である点を混同しやすいです。
また、公開WebサーバのFQDN情報が直接書き換えられるわけではなく、キャッシュ情報の偽装が主な被害です。

解法ステップ

DNSキャッシュポイズニングの攻撃内容を理解する（DNSのキャッシュ情報を書き換える攻撃）。
問題文のDNSサーバの役割（インターネット公開用と社内用の共用）を確認する。
キャッシュ汚染がどの利用者に影響を与えるかを考える（社内利用者の名前解決に影響）。
選択肢の内容と照らし合わせ、キャッシュ汚染の影響範囲に合致するものを選ぶ。
「ウ」が社内利用者の名前解決に誤りを生じさせる点で正解と判断する。

選択肢別の誤答解説

ア: 公開WebサーバのFQDN情報が書き換えられるのはDNSサーバの設定変更やゾーンファイルの改ざんであり、キャッシュポイズニングの直接的な影響ではない。
イ: DNSサーバにワームが常駐するのはマルウェア感染の話であり、DNSキャッシュポイズニングとは異なる攻撃手法である。
ウ: 社内利用者が本来とは異なるWebサーバに誘導されるのは、キャッシュポイズニングによる名前解決の偽装が原因であり正解。
エ: メールサーバの不正中継はメールサーバの設定や認証の問題であり、DNSキャッシュポイズニングの直接的な影響ではない。

補足コラム

DNSキャッシュポイズニングは、DNSの信頼性を悪用した攻撃であり、DNSSEC（DNS Security Extensions）などの技術で対策が進められています。
また、DMZに設置されたDNSサーバを内部用と外部用で分離することもリスク低減に有効です。
DNSのキャッシュ汚染は、フィッシングサイトへの誘導やマルウェア感染の入り口となるため、セキュリティ対策が重要です。

FAQ

Q: DNSキャッシュポイズニングとDNSサーバの設定改ざんはどう違いますか？
A: キャッシュポイズニングは一時的にキャッシュ情報を偽装する攻撃で、設定改ざんはDNSサーバのゾーンファイルなど恒久的な変更を指します。

Q: なぜDMZ上のDNSサーバを共用するとリスクが高まるのですか？
A: DMZのDNSサーバが社内用の名前解決も担当すると、外部からの攻撃でキャッシュが汚染され、社内利用者の通信先が偽装されるリスクが増えるためです。

関連キーワード: DNSキャッシュポイズニング, DMZ, DNSサーバ, 名前解決, セキュリティ対策

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2009年 秋期 午前2 問05

解説