ホーム > 情報処理安全確保支援士試験 > 2019年 春期
情報処理安全確保支援士試験 2019年 春期 午前2 問11
DNS キャッシュポイズニング攻撃に対して有効な対策はどれか。
ア:DNSサーバにおいて, 侵入したマルウェアをリアルタイムに隔離する。
イ:DNS問合せに使用する DNS ヘッダ内の ID を固定せずにランダムに変更する。(正解)
ウ:DNS問合せに使用する送信元ポート番号を53番に固定する。
エ:外部からの DNS 問合せに対しては, 宛先ポート番号 53 のものだけに応答する。
解説
DNSキャッシュポイズニング攻撃に対して有効な対策はどれか【午前2 解説】
要点まとめ
- 結論:DNS問合せのヘッダ内IDを固定せずランダムに変更することが有効です。
- 根拠:攻撃者は固定IDを狙って偽の応答を送り込み、キャッシュを汚染するため、IDをランダム化すると成功確率が下がります。
- 差がつくポイント:送信元ポート番号の固定や応答ポート制限は効果が限定的で、IDのランダム化が最も基本かつ重要な対策です。
正解の理由
DNSキャッシュポイズニングは、攻撃者がDNSの問い合わせに対して偽の応答を送り込み、DNSサーバのキャッシュを不正に書き換える攻撃です。
この攻撃は、DNSヘッダ内のIDが固定されていると、攻撃者がそのIDを予測しやすくなり、偽の応答を正規の応答として受け入れさせやすくなります。
したがって、IDをランダムに変更することで、攻撃者が正しいIDを当てる確率が極めて低くなり、攻撃の成功を防げます。
よって「イ」が正解です。
この攻撃は、DNSヘッダ内のIDが固定されていると、攻撃者がそのIDを予測しやすくなり、偽の応答を正規の応答として受け入れさせやすくなります。
したがって、IDをランダムに変更することで、攻撃者が正しいIDを当てる確率が極めて低くなり、攻撃の成功を防げます。
よって「イ」が正解です。
よくある誤解
DNSサーバのマルウェア隔離やポート番号の固定はセキュリティ対策として重要ですが、キャッシュポイズニングの直接的な防止策ではありません。
また、宛先ポート番号53への応答制限は基本的な設定であり、攻撃防止には不十分です。
また、宛先ポート番号53への応答制限は基本的な設定であり、攻撃防止には不十分です。
解法ステップ
- DNSキャッシュポイズニングの攻撃手法を理解する(偽のDNS応答を送り込む)。
- 攻撃成功の鍵となるDNSヘッダ内のIDの役割を確認する。
- IDが固定されている場合のリスクを考える。
- IDをランダム化することで攻撃成功率が下がることを知る。
- 選択肢の中でIDのランダム化を示すものを選ぶ。
選択肢別の誤答解説
- ア: マルウェアのリアルタイム隔離は重要だが、DNSキャッシュポイズニングの直接対策ではない。
- イ: DNS問合せのIDをランダムに変更することで攻撃成功率を下げるため正解。
- ウ: 送信元ポート番号を53に固定すると、攻撃者に予測されやすくなり逆効果。
- エ: 宛先ポート番号53への応答制限は基本設定であり、攻撃防止には不十分。
補足コラム
DNSキャッシュポイズニング対策としては、IDのランダム化に加え、送信元ポート番号もランダム化する「ポートランダマイゼーション」が効果的です。
また、DNSSEC(DNS Security Extensions)を導入することで、DNS応答の正当性を検証し、より強固な防御が可能となります。
また、DNSSEC(DNS Security Extensions)を導入することで、DNS応答の正当性を検証し、より強固な防御が可能となります。
FAQ
Q: なぜ送信元ポート番号を固定すると危険なのですか?
A: 固定すると攻撃者が予測しやすくなり、偽の応答を送り込みやすくなるためです。
A: 固定すると攻撃者が予測しやすくなり、偽の応答を送り込みやすくなるためです。
Q: DNSSECはキャッシュポイズニングにどう役立ちますか?
A: DNS応答に電子署名を付与し、正当な応答かどうか検証できるため、偽の応答を排除できます。
A: DNS応答に電子署名を付与し、正当な応答かどうか検証できるため、偽の応答を排除できます。
関連キーワード: DNSキャッシュポイズニング, DNSヘッダID, ポートランダマイゼーション, DNSSEC, ネットワークセキュリティ