戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

情報処理安全確保支援士 2023年 春期 午前205

問題文

DNSに対するカミンスキー攻撃(Kaminsky's attack)への対策はどれか。

選択肢

DNSキャッシュサーバと権威DNSサーバとの計2台の冗長構成とすることによって、過負荷によるサーバダウンのリスクを大幅に低減させる。
SPF(Sender Policy Framework)を用いてDNSリソースレコードを認証することによって、電子メールの送信元ドメインが詐称されていないかどうかを確認する。
問合せ時の送信元ポート番号をランダム化することによって、DNSキャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。(正解)
プレースホルダを用いたエスケープ処理を行うことによって、不正なSQL構文によるDNSリソースレコードの書換えを防ぐ。

DNSに対するカミンスキー攻撃(Kaminsky's attack)への対策はどれか【午前2 解説】

要点まとめ

  • 結論:カミンスキー攻撃対策には問い合わせ時の送信元ポート番号のランダム化が有効です。
  • 根拠:攻撃はDNSキャッシュポイズニングを狙い、固定ポートを狙うためランダム化で偽情報注入を困難にします。
  • 差がつくポイント:攻撃の仕組みを理解し、ポート番号の役割とランダム化の効果を正確に把握することが重要です。

正解の理由

カミンスキー攻撃はDNSキャッシュサーバに偽のDNS情報を注入し、ユーザを偽サイトに誘導する攻撃です。攻撃者はDNS問い合わせのトランザクションIDだけでなく、送信元ポート番号も予測しやすい場合に成功率が高まります。
送信元ポート番号をランダム化することで、攻撃者が正しい組み合わせを推測する難易度が飛躍的に上がり、偽情報がキャッシュされる確率を大幅に低減できます。
したがって、「ウ」の送信元ポート番号のランダム化が最も効果的な対策です。

よくある誤解

DNSキャッシュサーバの冗長化は可用性向上には有効ですが、カミンスキー攻撃の防御には直接関係ありません。
また、SPFはメール送信元の詐称防止であり、DNSのキャッシュポイズニング対策ではありません。

解法ステップ

  1. カミンスキー攻撃の目的と手法を理解する(DNSキャッシュポイズニング)。
  2. 攻撃成功の鍵となる要素(トランザクションIDと送信元ポート番号)を把握する。
  3. 対策として有効な方法を選択肢から探す。
  4. 送信元ポート番号のランダム化が攻撃成功率を下げることを確認する。
  5. 他の選択肢の内容が攻撃対策に直接関係ないことを判断する。

選択肢別の誤答解説

  • ア: 冗長構成はサーバの可用性向上策であり、攻撃の防御策ではありません。
  • イ: SPFはメール送信元の詐称防止技術であり、DNSキャッシュポイズニング対策とは無関係です。
  • ウ: 問い合わせ時の送信元ポート番号をランダム化することで、偽情報注入の難易度を上げる正しい対策です。
  • エ: プレースホルダを用いたエスケープ処理はSQLインジェクション対策であり、DNSの書換え防止には直接関係ありません。

補足コラム

カミンスキー攻撃は2008年に発表され、DNSの脆弱性を突く代表的な攻撃手法です。
現在ではDNSSEC(DNS Security Extensions)による署名検証も有効な防御策として普及しています。
送信元ポートのランダム化はDNSサーバの基本的なセキュリティ強化策の一つであり、多くのDNS実装で標準化されています。

FAQ

Q: なぜ送信元ポート番号のランダム化が効果的なのですか?
A: 攻撃者はトランザクションIDと送信元ポート番号の両方を正確に予測しなければ偽情報を注入できず、ランダム化で予測困難になるためです。
Q: SPFはDNSのどのような攻撃に対して有効ですか?
A: SPFはメール送信元のドメイン詐称を防ぐ技術であり、DNSキャッシュポイズニングには効果がありません。
関連キーワード: DNSキャッシュポイズニング、カミンスキー攻撃、送信元ポートランダム化、DNSセキュリティ、DNSSEC
← 前の問題へ次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

情報処理安全確保支援士
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について