ホーム > 情報処理安全確保支援士試験 > 2023年 春期
情報処理安全確保支援士試験 2023年 春期 午前2 問05
DNSに対するカミンスキー攻撃(Kaminsky's attack)への対策はどれか。
ア:DNSキャッシュサーバと権威DNSサーバとの計2台の冗長構成とすることによって,過負荷によるサーバダウンのリスクを大幅に低減させる。
イ:SPF(Sender Policy Framework)を用いてDNSリソースレコードを認証することによって,電子メールの送信元ドメインが詐称されていないかどうかを確認する。
ウ:問合せ時の送信元ポート番号をランダム化することによって,DNSキャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。(正解)
エ:プレースホルダを用いたエスケープ処理を行うことによって,不正なSQL構文によるDNSリソースレコードの書換えを防ぐ。
解説
DNSに対するカミンスキー攻撃(Kaminsky's attack)は、DNSキャッシュポイズニング攻撃の一種で、攻撃者がDNSの応答内容を偽装して、正規のDNSサーバが誤った情報をキャッシュしてしまうことで、ユーザを悪意あるサーバへ誘導する手法です。
なぜ攻撃が成立するのか?
通常、DNSクエリには「問い合わせの送信元ポート番号」と「トランザクションID(識別子)」が含まれており、応答を識別するために使われます。しかし、これらが予測可能だと、攻撃者がそれらの値を推測して偽の応答をDNSサーバに送りつけ、正しい応答より先にキャッシュしてしまわせることが可能です。
カミンスキー攻撃への主な対策
この攻撃への効果的な対策は、問い合わせ時の送信元ポート番号をランダム化することです。ポート番号をランダムにすることで、攻撃者が正しいポート番号を予測することが非常に困難になり、偽の応答がキャッシュされる確率を大幅に下げることができます。
選択肢の検討
-
ア: 冗長構成による過負荷対策
サーバの障害や過負荷によるダウンを防ぐ方法であり、DNSの応答の偽装対策にはなりません。 -
イ: SPFによる電子メールの送信元認証
SPFはメール送信ドメイン認証技術であり、DNSのキャッシュポイズニング攻撃対策ではありません。 -
ウ: 送信元ポート番号のランダム化
正しい対策です。問い合わせの送信元ポート番号をランダムに設定するため、偽のキャッシュを防止できます。 -
エ: プレースホルダによるSQLインジェクション対策
SQLインジェクション対策の手法のため、DNSの攻撃対策とは無関係です。
まとめ
カミンスキー攻撃は、DNSキャッシュサーバに対し、予測可能な送信元ポート番号とトランザクションIDを狙って偽の情報をキャッシュさせる攻撃です。これを防ぐためには、**問い合わせの送信元ポート番号をランダム化する(選択肢ウ)**ことが最も効果的な対策です。
DNSの安全性を高めるためには、このような基礎的なセキュリティ強化措置が重要となります。