戦国IT

情報処理技術者試験の無料過去問対策サイト

ホーム > 情報処理安全確保支援士試験 > 2017年 秋期

情報処理安全確保支援士試験 2017年 秋期 午前206

DNS に対するカミンスキー攻撃 (Kaminsky's attack) への対策はどれか。
DNS キャッシュサーバと権威 DNS サーバとの計2台の冗長構成とすることによって, 過負荷によるサーバダウンのリスクを大幅に低減させる。
SPF (Sender Policy Framework) を用いて MXレコードを認証することによって, 電子メールの送信元ドメインが詐称されていないかどうかを確認する。
問合せ時の送信元ポート番号をランダム化することによって, DNS キャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。(正解)
プレースホルダを用いたエスケープ処理を行うことによって, 不正な SQL 構文による DNS リソースレコードの書換えを防ぐ。

解説

DNS に対するカミンスキー攻撃 (Kaminsky's attack) への対策はどれか【午前2 解説】

要点まとめ

  • 結論:カミンスキー攻撃対策には問い合わせ時の送信元ポート番号のランダム化が有効です。
  • 根拠:攻撃はDNSキャッシュポイズニングを狙い、予測可能なポート番号を悪用するため、ランダム化で攻撃成功率を下げます。
  • 差がつくポイント:単なるサーバ冗長化やメール認証技術はDNSキャッシュ汚染防止には直接関係しません。SQLインジェクション対策も別分野です。

正解の理由

カミンスキー攻撃はDNSキャッシュサーバに偽の情報を注入し、ユーザーを偽サイトに誘導する攻撃です。攻撃者はDNS問い合わせの送信元ポート番号が固定または予測可能であることを利用し、偽の応答を高速に送り込むことでキャッシュを汚染します。
したがって、送信元ポート番号をランダム化することで、攻撃者が正しいポート番号を予測しにくくなり、攻撃成功率を大幅に低減できます。これが最も効果的な対策です。

よくある誤解

DNSサーバの冗長化は可用性向上には役立ちますが、キャッシュポイズニング攻撃の防止には直接効果がありません。
また、SPFはメール送信元の詐称防止技術であり、DNSのキャッシュ汚染とは無関係です。

解法ステップ

  1. 問題文の「カミンスキー攻撃」がDNSキャッシュポイズニング攻撃であることを理解する。
  2. 攻撃の手法として「送信元ポート番号の予測」が鍵であることを確認する。
  3. 選択肢の中で「送信元ポート番号のランダム化」を含むものを探す。
  4. 他の選択肢が攻撃内容に直接関係しないことを確認し、正解を選ぶ。

選択肢別の誤答解説

  • ア: 冗長構成はサーバの可用性向上策であり、攻撃の防止策ではありません。
  • イ: SPFはメール送信元の詐称防止技術で、DNSキャッシュ汚染とは無関係です。
  • ウ: 問い合わせ時の送信元ポート番号をランダム化し、攻撃成功率を下げるため正解です。
  • エ: SQLインジェクション対策はWebアプリケーションの問題であり、DNSのキャッシュ汚染防止とは関係ありません。

補足コラム

カミンスキー攻撃は2008年に発見され、DNSの脆弱性を突く代表的な攻撃です。
この攻撃を受けて、DNSサーバソフトウェアは送信元ポートのランダム化やトランザクションIDの強化を実装しました。
また、DNSSEC(DNS Security Extensions)を導入することで、DNS応答の正当性を検証し、キャッシュポイズニングを根本的に防ぐことも推奨されています。

FAQ

Q: カミンスキー攻撃はどのようにDNSを攻撃するのですか?
A: DNS問い合わせの送信元ポート番号やトランザクションIDを予測し、偽の応答をDNSキャッシュに注入します。
Q: SPFはDNS攻撃対策に役立ちますか?
A: いいえ。SPFはメール送信元の詐称防止技術であり、DNSキャッシュ汚染とは無関係です。
Q: DNSSECはカミンスキー攻撃に対して有効ですか?
A: はい。DNSSECはDNS応答の署名検証を行い、偽の情報注入を防止します。
関連キーワード: DNSキャッシュポイズニング, 送信元ポートランダム化, カミンスキー攻撃, DNSSEC, SPF, 冗長構成
← 前の問題へ次の問題へ →

©︎2025 情報処理技術者試験対策アプリ