ホーム > 情報処理安全確保支援士試験 > 2025年 春期
情報処理安全確保支援士試験 2025年 春期 午前2 問04
DNS に対するカミンスキー攻撃への対策はどれか。
ア:DNS キャッシュサーバと権威 DNS サーバとの計2台の冗長構成とすることによって、過負荷によるサーバダウンのリスクを大幅に低減させる。
イ:SPF を用いて DNS リソースレコードを認証することによって、電子メールの送信元ドメインが詐称されていないかどうかを確認する。
ウ:SQL 文の組立てにプレースホルダを用いることによって、不正な SQL 文による DNS リソースレコードの書換えを防ぐ。
エ:問合せ時の送信元ポート番号をランダム化することによって、DNS キャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。(正解)
解説
DNS に対するカミンスキー攻撃への対策はどれか【午前2 解説】
要点まとめ
- 結論:カミンスキー攻撃対策には問い合わせ時の送信元ポート番号のランダム化が有効です。
- 根拠:攻撃者は固定ポートを狙い偽のDNS応答を送り込むため、ポート番号をランダム化することで成功確率を下げられます。
- 差がつくポイント:単なる冗長構成やメール認証技術ではなく、DNSの問い合わせプロトコルの脆弱性に直接対応する方法を選ぶことが重要です。
正解の理由
カミンスキー攻撃はDNSキャッシュポイズニングの一種で、攻撃者がDNSキャッシュサーバに偽の情報を注入し、ユーザを偽サイトに誘導します。この攻撃はDNS問い合わせの送信元ポート番号が固定または予測可能であることを悪用します。
選択肢エの「送信元ポート番号をランダム化する」対策は、攻撃者が正しいポート番号を特定しにくくするため、偽の応答がキャッシュされる確率を大幅に減少させます。これがカミンスキー攻撃に対する最も効果的な防御策です。
選択肢エの「送信元ポート番号をランダム化する」対策は、攻撃者が正しいポート番号を特定しにくくするため、偽の応答がキャッシュされる確率を大幅に減少させます。これがカミンスキー攻撃に対する最も効果的な防御策です。
よくある誤解
DNSの冗長構成やメール送信元認証は重要ですが、カミンスキー攻撃の直接的な対策にはなりません。SQLインジェクション対策もDNS攻撃とは別の問題です。
解法ステップ
- カミンスキー攻撃の特徴を理解する(DNSキャッシュポイズニングの一種であること)。
- 攻撃の手法として送信元ポート番号の固定性を悪用する点を把握する。
- 対策として送信元ポート番号のランダム化が有効であることを確認する。
- 選択肢の内容を攻撃の仕組みと照らし合わせて正しい対策を選ぶ。
選択肢別の誤答解説
- ア: 冗長構成は可用性向上には有効ですが、カミンスキー攻撃の根本的な防御策ではありません。
- イ: SPFはメール送信元の詐称防止技術であり、DNSのキャッシュポイズニング対策とは無関係です。
- ウ: SQL文のプレースホルダはSQLインジェクション対策であり、DNSの攻撃とは直接関係ありません。
- エ: 問い合わせ時の送信元ポート番号をランダム化することで、偽のDNS情報がキャッシュされる確率を大幅に低減できるため正解です。
補足コラム
カミンスキー攻撃は2008年にDan Kaminsky氏によって発見され、DNSの根幹を揺るがす脆弱性として注目されました。対策としては送信元ポートのランダム化に加え、DNSSEC(DNS Security Extensions)による応答の署名検証も推奨されています。DNSSECはDNS応答の改ざんを防ぐ強力な技術ですが、導入には運用コストがかかるため段階的に普及しています。
FAQ
Q: なぜ送信元ポート番号をランダム化すると攻撃が防げるのですか?
A: 攻撃者は偽の応答を送る際に正しいポート番号を予測する必要があります。ランダム化により予測が困難になり、攻撃成功率が下がります。
A: 攻撃者は偽の応答を送る際に正しいポート番号を予測する必要があります。ランダム化により予測が困難になり、攻撃成功率が下がります。
Q: SPFはDNS攻撃の対策に使えますか?
A: SPFはメール送信元の詐称防止技術であり、DNSキャッシュポイズニングの対策にはなりません。
A: SPFはメール送信元の詐称防止技術であり、DNSキャッシュポイズニングの対策にはなりません。
関連キーワード: DNSキャッシュポイズニング, カミンスキー攻撃, 送信元ポートランダム化, DNSSEC, SPF, SQLインジェクション