ホーム > 情報処理安全確保支援士試験 > 2009年 春期
情報処理安全確保支援士試験 2009年 春期 午前2 問01
DNSキャッシュポイズニングに分類される攻撃内容はどれか。
ア:DNSサーバのソフトウェアのバージョン情報を入手して,DNSサーバのセキュリティホールを特定する。
イ:PCが参照するDNSサーバに誤ったドメイン管理情報を注入して,偽装されたWebサーバにPCの利用者を誘導する。(正解)
ウ:攻撃対象のサービスを妨害するために、攻撃者がDNSサーバを踏み台に利用して再帰的な問合せを大量に行う。
エ:内部情報を入手するために,DNSサーバが保存するゾーン情報をまとめて転送させる。
解説
DNSキャッシュポイズニングに分類される攻撃内容はどれか【午前2 解説】
要点まとめ
- 結論:DNSキャッシュポイズニングは、DNSサーバに偽のドメイン情報を注入し利用者を偽装サイトに誘導する攻撃です。
- 根拠:DNSのキャッシュに誤った情報を入れることで、正規のドメイン名解決を改ざんし、攻撃者の意図するサイトへ誘導可能です。
- 差がつくポイント:DNSの仕組みとキャッシュの役割を理解し、攻撃の目的が「偽装サイトへの誘導」である点を押さえることが重要です。
正解の理由
選択肢イは「PCが参照するDNSサーバに誤ったドメイン管理情報を注入して、偽装されたWebサーバにPCの利用者を誘導する」とあります。これはDNSキャッシュポイズニングの典型的な攻撃手法であり、DNSのキャッシュに偽情報を入れて正規のドメイン名解決を改ざんし、利用者を攻撃者の用意した偽サイトに誘導します。したがって、イが正解です。
よくある誤解
DNSキャッシュポイズニングは単なるDNSサーバの脆弱性攻撃ではなく、DNSのキャッシュ機能を悪用した攻撃である点を混同しやすいです。
解法ステップ
- DNSキャッシュポイズニングの定義を確認する。
- 各選択肢の内容がDNSのどの機能や攻撃手法に該当するかを分析する。
- 「誤ったドメイン情報を注入し偽装サイトに誘導する」攻撃がDNSキャッシュポイズニングであると判断する。
- 他の選択肢が別の攻撃や情報収集であることを確認し、正解を絞る。
選択肢別の誤答解説
- ア: DNSサーバのバージョン情報を入手し脆弱性を探すのは情報収集段階であり、キャッシュポイズニングとは異なります。
- イ: DNSキャッシュポイズニングの典型的な攻撃内容であり正解です。
- ウ: DNSサーバを踏み台に大量の再帰問い合わせを行うのはDDoS攻撃の一種で、キャッシュポイズニングではありません。
- エ: ゾーン転送を利用した情報収集であり、攻撃の種類としては別物です。
補足コラム
DNSキャッシュポイズニングは、DNSのキャッシュに偽情報を注入することで、ユーザーを攻撃者が用意した偽サイトに誘導し、フィッシングやマルウェア感染を狙います。対策としてはDNSSEC(DNS Security Extensions)による応答の署名検証や、キャッシュの検証強化が有効です。
FAQ
Q: DNSキャッシュポイズニングとDNSリバインディングは同じですか?
A: いいえ。DNSキャッシュポイズニングはDNSキャッシュの偽情報注入で、DNSリバインディングはブラウザのセキュリティを回避して内部ネットワークにアクセスする攻撃です。
A: いいえ。DNSキャッシュポイズニングはDNSキャッシュの偽情報注入で、DNSリバインディングはブラウザのセキュリティを回避して内部ネットワークにアクセスする攻撃です。
Q: DNSSECはDNSキャッシュポイズニングにどう役立ちますか?
A: DNSSECはDNS応答に電子署名を付与し、改ざんを検出できるため、キャッシュポイズニングの防止に効果的です。
A: DNSSECはDNS応答に電子署名を付与し、改ざんを検出できるため、キャッシュポイズニングの防止に効果的です。
関連キーワード: DNSキャッシュポイズニング, DNS攻撃, DNSセキュリティ, DNSSEC, フィッシング対策