ホーム > 情報処理安全確保支援士試験 > 2014年 春期
情報処理安全確保支援士試験 2014年 春期 午前2 問09
自ネットワークのホストへの侵入を、ファイアウォールにおいて防止する対策のうち、IPスプーフィング(spoofing)攻撃の対策について述べたものはどれか。
ア:外部から入るTCPコネクション確立要求パケットのうち、外部へのインターネットサービスの提供に必要なもの以外を破棄する。
イ:外部から入るUDPパケットのうち、外部へのインターネットサービスの提供や利用したいインターネットサービスに必要なもの以外を破棄する。
ウ:外部から入るパケットの宛先IPアドレスが、インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば、そのパケットを破棄する。
エ:外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば、そのパケットを破棄する。(正解)
解説
IPスプーフィング攻撃対策【午前2 解説】
要点まとめ
- 結論:IPスプーフィング対策には、外部からのパケットで送信元IPが自ネットワーク内のものを破棄することが有効です。
- 根拠:攻撃者は送信元IPを偽装し、自ネットワーク内のIPアドレスを装うことで侵入を試みるため、送信元IPの検証が重要です。
- 差がつくポイント:送信元IPアドレスの正当性をチェックし、内部IPからの外部経由のパケットを遮断する設定がスプーフィング防止の基本です。
正解の理由
選択肢エは「外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば、そのパケットを破棄する」と述べています。これはIPスプーフィング攻撃の典型的な手法である「内部IPアドレスを偽装して外部から侵入する」行為を防ぐための対策です。ファイアウォールがこのルールを適用することで、外部からの偽装パケットを効果的に遮断できます。
よくある誤解
IPスプーフィング対策は単に不要なポートを閉じることではありません。送信元IPの正当性を検証しないと、偽装パケットを見逃してしまいます。
解法ステップ
- IPスプーフィングの攻撃手法を理解する(送信元IPを偽装する)。
- ファイアウォールの役割を確認する(パケットの送信元・宛先IPを検査)。
- 選択肢の内容を送信元IPに注目して比較する。
- 「外部からのパケットで送信元IPが自ネットワーク内のものを破棄する」ルールがスプーフィング対策に直結することを判断する。
- 正解はエと確定する。
選択肢別の誤答解説
- ア: TCPコネクション確立要求の制限はサービス制御であり、スプーフィング対策とは直接関係ありません。
- イ: UDPパケットの制限もサービス利用制御であり、送信元IPの偽装防止には不十分です。
- ウ: 宛先IPアドレスの検査は内部ホスト保護に役立ちますが、送信元IPの偽装防止にはならずスプーフィング対策として不適切です。
- エ: 送信元IPが自ネットワーク内のものを外部から受け入れない設定は、IPスプーフィング攻撃を防ぐ基本的かつ効果的な対策です。
補足コラム
IPスプーフィングは攻撃者が送信元IPアドレスを偽装し、信頼された内部ネットワークからの通信に見せかける手法です。これに対抗するためには、ファイアウォールやルーターで「逆方向パケットフィルタリング(Ingress Filtering)」を実施し、内部IPアドレスを外部からのパケットの送信元として許可しない設定が推奨されます。
FAQ
Q: IPスプーフィング攻撃はどのような被害をもたらしますか?
A: なりすましによる不正アクセスやサービス妨害(DoS攻撃)の踏み台に使われることがあります。
A: なりすましによる不正アクセスやサービス妨害(DoS攻撃)の踏み台に使われることがあります。
Q: 送信元IPアドレスの検証はどこで行うのが効果的ですか?
A: ファイアウォールや境界ルーターで行うのが一般的で、ネットワークの入口で不正パケットを遮断します。
A: ファイアウォールや境界ルーターで行うのが一般的で、ネットワークの入口で不正パケットを遮断します。
関連キーワード: IPスプーフィング, ファイアウォール設定, 逆方向パケットフィルタリング, ネットワークセキュリティ, パケットフィルタリング