ホーム > 情報処理安全確保支援士試験 > 2014年 秋期
情報処理安全確保支援士試験 2014年 秋期 午前2 問09
DNSキャッシュサーバに対して外部から行われるキャッシュポイズニング攻撃への対策のうち、適切なものはどれか。
ア:外部ネットワークからの再帰的な問合せに応答できるように,コンテンツサーバにキャッシュサーバを兼ねさせる。
イ:再帰的な問合せに対しては,内部ネットワークからのものだけに応答するように設定する。(正解)
ウ:再帰的な問合せを行う際の送信元のポート番号を固定する。
エ:再帰的な問合せを行う際のトランザクションIDを固定する。
解説
DNSキャッシュサーバに対するキャッシュポイズニング攻撃対策【午前2 解説】
要点まとめ
- 結論:再帰的な問合せに対しては内部ネットワークからのものだけに応答する設定が適切です。
- 根拠:外部からの再帰的問合せを許可すると、攻撃者が偽の応答を送り込みキャッシュを汚染されるリスクが高まります。
- 差がつくポイント:再帰的問合せの応答範囲を限定し、信頼できる内部ネットワークのみに制限することが重要です。
正解の理由
イ: 再帰的な問合せに対しては、内部ネットワークからのものだけに応答するように設定する。
DNSキャッシュポイズニング攻撃は、外部からの偽のDNS応答をキャッシュサーバに送り込み、誤った名前解決情報をキャッシュさせる手法です。再帰的問合せに対して外部から応答を許可すると、攻撃者が偽の応答を送り込みやすくなります。内部ネットワークからの再帰的問合せのみに応答を限定することで、外部からの攻撃リスクを大幅に減らせます。
DNSキャッシュポイズニング攻撃は、外部からの偽のDNS応答をキャッシュサーバに送り込み、誤った名前解決情報をキャッシュさせる手法です。再帰的問合せに対して外部から応答を許可すると、攻撃者が偽の応答を送り込みやすくなります。内部ネットワークからの再帰的問合せのみに応答を限定することで、外部からの攻撃リスクを大幅に減らせます。
よくある誤解
再帰的問合せの送信元ポート番号やトランザクションIDを固定すれば安全と考えがちですが、これらは攻撃者に推測されやすく、根本的な対策にはなりません。
解法ステップ
- DNSキャッシュポイズニング攻撃の仕組みを理解する。
- 再帰的問合せの意味と役割を確認する。
- 外部からの再帰的問合せが攻撃リスクを高めることを認識する。
- 対策として再帰的問合せの応答範囲を内部ネットワークに限定する設定が有効と判断する。
- 選択肢の中でこの対策を示すものを選ぶ。
選択肢別の誤答解説
- ア: 外部ネットワークからの再帰的問合せに応答可能にし、コンテンツサーバを兼ねさせるのは攻撃面を広げるだけで逆効果です。
- イ: 正解。内部ネットワークからの再帰的問合せのみに応答し、外部からの攻撃を防ぎます。
- ウ: 送信元ポート番号を固定すると攻撃者に予測されやすく、セキュリティ向上にはつながりません。
- エ: トランザクションIDを固定するのも同様に推測されやすく、攻撃防止には不十分です。
補足コラム
DNSキャッシュポイズニングは、DNSの信頼性を損なう重大な攻撃です。近年はDNSSEC(DNS Security Extensions)による署名検証が普及しつつあり、これにより偽の応答を検出・排除できます。とはいえ、基本的な設定として再帰的問合せの応答範囲制限は必須の対策です。
FAQ
Q: 再帰的問合せとは何ですか?
A: DNSサーバが問い合わせを受けた際、他のDNSサーバに問い合わせを代行し、最終的な回答を返す機能です。
A: DNSサーバが問い合わせを受けた際、他のDNSサーバに問い合わせを代行し、最終的な回答を返す機能です。
Q: なぜ送信元ポート番号やトランザクションIDを固定すると危険なのですか?
A: 攻撃者がこれらの値を推測しやすくなり、偽の応答を送り込みやすくなるためです。
A: 攻撃者がこれらの値を推測しやすくなり、偽の応答を送り込みやすくなるためです。
Q: DNSSECはキャッシュポイズニング対策になりますか?
A: はい。DNS応答にデジタル署名を付与し、正当性を検証できるため効果的です。
A: はい。DNS応答にデジタル署名を付与し、正当性を検証できるため効果的です。
関連キーワード: DNSキャッシュポイズニング, 再帰的問合せ, DNSセキュリティ, DNS設定, ネットワークセキュリティ