情報処理安全確保支援士 2025年秋期午前2 問07

問題文

送信元IPアドレスがA,送信元ポート番号が80/tcp,宛先IPアドレスがホストに割り振られていない未使用のIPアドレスであるSYN/ACKパケットを大量に観測した場合、推定できる攻撃はどれか。

選択肢

ア：IPアドレスAを攻撃先とするサービス妨害攻撃（正解）

イ：IPアドレスAを攻撃先とするパスワードリスト攻撃

ウ：IPアドレスAを攻撃元とするサービス妨害攻撃

エ：IPアドレスAを攻撃元とするパスワードリスト攻撃

SYN/ACKパケットが未使用IP宛に大量観測された場合の攻撃推定【午前2 解説】

要点まとめ

結論：送信元がAで送信元ポート80、宛先が未使用IPのSYN/ACK大量観測はAがSYNを受けているDoS攻撃を示唆します。
根拠：SYN/ACKはサーバーがSYNへ返信するパケットで、大量の返信はAが多数のSYNを受信した結果であると推定できます。
差がつくポイント：パケットの「送信元＝攻撃者」と短絡せず、応答パケット（SYN/ACK）が示す役割（応答側＝攻撃先）を把握すること。

正解の理由

正解：ア
SYN/ACKはTCPの接続確立(3ウェイハンドシェイク)におけるサーバー側の応答です。送信元IPがAで送信元ポートが80/tcpということはAがサーバーとしてSYNに対して応答していることを示します。宛先がホストに割り振られていない未使用IPであるのは、攻撃者がその未使用IPを送信元アドレスに偽装して大量のSYNをAに送信した（IPスプーフィング）ため、Aが偽装された送信元へSYN/ACKを返している状態と解釈できます。したがって「IPアドレスAを攻撃先とするサービス妨害攻撃（SYN Flood等）」が推定されます。

よくある誤解（2〜3 行）

観測したパケットの送信元IP＝実際の攻撃者と考えるのは誤りで、スプーフィングで偽装されている場合が多いです。
送信元ポートが80だから攻撃がウェブ由来とは限らず、単にウェブサーバが応答者であることを意味します。

解法ステップ

パケット種類を確認：SYN/ACKはTCP接続の「サーバ応答」であると認識する。
送信元／宛先の役割を整理：送信元A（ポート80）は応答側、宛先は応答を受ける側。
宛先が未使用IPである事実から、送信元は偽装された応答先へ返信している可能性を考える。
結論付け：多数のSYNに応答しているAが攻撃（サービス妨害）の対象であると推定する。

選択肢別の誤答解説

ア: 正しい。上記のとおり、AがSYNに応答している＝Aが攻撃対象のDoSの可能性が高い。
イ: 誤り。パスワードリスト攻撃は通常TCP接続確立後に認証試行が行われ、SYN/ACK大量観測だけでは示されない。
ウ: 誤り。観測しているのはAからの応答であり、観測データだけではAが攻撃発信元であるとは言えない（スプーフィングの可能性）。
エ: 誤り。パスワードリスト攻撃は攻撃元がログイン試行を行うため、SYN/ACKの大量観測とは整合しない。

補足コラム（関連知識など）

TCPの3ウェイハンドシェイク：クライアントがSYN、サーバがSYN/ACK、クライアントがACKで接続確立します。SYN/ACKはサーバ応答を示す重要な手がかりです。
SYN Floodのメカニズム：攻撃者が大量のSYNを送ることでサーバのキュー（SYN backlog）を圧迫し、正規接続を拒否させる攻撃です。攻撃にスプーフィングを組み合わせると追跡が困難になります。
対策例：SYN Cookie、接続レート制限、ファイアウォールフィルタ、BCP38による送信元アドレス偽装防止（アウトバウンドフィルタリング）。

FAQ

Q: SYN/ACKが大量に来ていても未使用IPが宛先なら誰が困るのですか？
A: 宛先が未使用でも、その経路や中継機器に負荷がかかり、同じネットワーク内の正当なサービスに影響が出る可能性があります。

Q: 観測した送信元IPが複数ある場合はどう判断しますか？
A: 複数の送信元（反射サーバ）が観測される場合、攻撃が反射・分散型（DDoS）であることを疑い、共通の標的（攻撃先）を特定する方向で解析します。

関連キーワード: SYN Flood, TCPハンドシェイク、IPスプーフィング、SYN/ACK, サービス妨害、DDoS, SYN Cookie, アウトバウンドフィルタリング

← 前の問題へ次の問題へ →

\ せっかくなら /

情報処理安全確保支援士を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！