ホーム > 情報処理安全確保支援士試験 > 2016年 春期
情報処理安全確保支援士試験 2016年 春期 午前2 問12
DNS キャッシュポイズニング攻撃に対して有効な対策はどれか。
ア:DNSサーバで,マルウェアの侵入をリアルタイムに検知する。
イ:DNS問合せに使用するDNSヘッダ内のIDを固定せずにランダムに変更する。(正解)
ウ:DNS問合せに使用する送信元ポート番号を53番に固定する。
エ:外部からのDNS問合せに対しては,宛先ポート番号53のものだけに応答する。
解説
DNSキャッシュポイズニング攻撃に対して有効な対策はどれか【午前2 解説】
要点まとめ
- 結論:DNS問合せのDNSヘッダ内のIDを固定せずランダムに変更することが有効です。
- 根拠:攻撃者は固定IDを狙って偽の応答を送り込みますが、ランダム化で予測困難にします。
- 差がつくポイント:IDのランダム化と送信元ポートのランダム化がセットで対策効果を高めます。
正解の理由
DNSキャッシュポイズニング攻撃は、攻撃者がDNSの問い合わせに対して偽の応答を送り込み、キャッシュを汚染する手法です。DNSヘッダ内のIDが固定されていると、攻撃者はそのIDを予測して偽の応答を送信しやすくなります。したがって、IDをランダムに変更することで、攻撃者が正しいIDを推測する難易度が上がり、攻撃成功率が大幅に低下します。これが最も効果的な対策であるため、選択肢イが正解です。
よくある誤解
DNSサーバのマルウェア検知やポート番号の固定は重要ですが、キャッシュポイズニングの根本的な防御策にはなりません。特にポート番号を固定すると逆に攻撃を受けやすくなります。
解法ステップ
- DNSキャッシュポイズニングの仕組みを理解する。
- 攻撃者が狙うDNSヘッダのIDや送信元ポート番号の役割を確認する。
- IDやポート番号が固定されている場合のリスクを把握する。
- ランダム化による予測困難性の向上が防御に繋がることを認識する。
- 選択肢の中でIDをランダムに変更するものを選ぶ。
選択肢別の誤答解説
- ア: マルウェアのリアルタイム検知は重要だが、DNSキャッシュポイズニングの直接対策ではない。
- イ: DNSヘッダ内のIDをランダムに変更することで攻撃の成功率を下げるため正解。
- ウ: 送信元ポート番号を53番に固定すると攻撃者に狙われやすくなるため逆効果。
- エ: 宛先ポート番号53の応答制限は基本的な設定だが、キャッシュポイズニング防止には不十分。
補足コラム
DNSキャッシュポイズニングは、DNSの信頼性を損なう重大な攻撃です。IDのランダム化に加え、送信元ポート番号もランダム化する「ポートランダム化」やDNSSEC(DNS Security Extensions)の導入がより強力な防御策として推奨されています。
FAQ
Q: なぜ送信元ポート番号の固定は危険なのですか?
A: 固定ポートは攻撃者が偽の応答を送る際に予測しやすく、攻撃成功率が上がるためです。
A: 固定ポートは攻撃者が偽の応答を送る際に予測しやすく、攻撃成功率が上がるためです。
Q: DNSSECはキャッシュポイズニングに有効ですか?
A: はい。DNSSECはDNS応答にデジタル署名を付与し、改ざんを検出できるため非常に有効です。
A: はい。DNSSECはDNS応答にデジタル署名を付与し、改ざんを検出できるため非常に有効です。
関連キーワード: DNSキャッシュポイズニング, DNSヘッダID, ポートランダム化, DNSセキュリティ, DNS攻撃対策