システムアーキテクト 2025年 午前2 問16
問題文
オープンリゾルバを悪用した攻撃はどれか。
選択肢
ア:ICMPパケットの送信元を偽装し、多数の宛先に送ることによって、攻撃対象のコンピュータに大量の偽のICMPパケットの応答を送る。
イ:PC内のhostsファイルにある、ドメインとIPアドレスとの対応付けを大量に書き換え、偽のWebサイトに誘導し、大量のコンテンツをダウンロードさせる。
ウ:送信元IPアドレスを偽装したDNS問合せを多数のDNSサーバに送ることによって、攻撃対象のコンピュータに大量の応答を送る。(正解)
エ:誰でも電子メールの送信ができるメールサーバを踏み台にして、電子メールの送信元アドレスを詐称したなりすましメールを大量に送信する。
##: オープンリゾルバを悪用した攻撃はどれか。【午前2 解説】
要点まとめ
- 結論:オープンリゾルバを悪用するのは、送信元IPを偽装して多数のDNS問合せを投げ、被害者に大量応答を送らせるウであり、DNSリフレクション/アンプ攻撃に該当します。
- 根拠:オープンリゾルバは誰でも再帰/応答可能なDNSサーバで、偽装した送信元に対して応答を返す性質があり、これを利用してトラフィックを反射・増幅できます。
- 差がつくポイント:ICMPのSmurfやhosts書換、オープンリレーは別カテゴリの攻撃で、キーワード「DNS問合せ」「オープンリゾルバ」「送信元偽装」「大量の応答」で判別します。
正解の理由
攻撃の説明にある「オープンリゾルバ」「送信元IPアドレスを偽装したDNS問合せ」「多数のDNSサーバに送る」「攻撃対象に大量の応答を送る」という要素がすべて合致するため、ウが正解です。
オープンリゾルバは外部からの問合せに応答するため、攻撃者が被害者のIPを送信元に偽装して多数のDNSサーバへ問合せを送ると、それらのDNSサーバ群が被害者に大量の応答を返し、被害者に対する分散サービス妨害(DDoS)を実現します。これがDNSリフレクション(反射)/アンプリフィケーション(増幅)攻撃です。
オープンリゾルバは外部からの問合せに応答するため、攻撃者が被害者のIPを送信元に偽装して多数のDNSサーバへ問合せを送ると、それらのDNSサーバ群が被害者に大量の応答を返し、被害者に対する分散サービス妨害(DDoS)を実現します。これがDNSリフレクション(反射)/アンプリフィケーション(増幅)攻撃です。
よくある誤解(2〜3 行)
- 「ICMPでのSmurf攻撃と同じ」は誤りで、Smurfはブロードキャスト応答を利用したICMP反射でありプロトコルが異なります。
- 「オープンリレーの大量メール送信(エ)と同じカテゴリ」と考えると混同しますが、メール送信はスパム拡散であってDNS反射とはメカニズムが別です。
解法ステップ(番号付きリスト)
- 問題文のキーワードを拾う:「オープンリゾルバ」「悪用」「送信元IP偽装」「大量の応答」。
- 選択肢をそれぞれキーワードと照合する:DNS問合せ・応答に関する選択肢を注視。
- プロトコルの違いで除外する:ICMP(ア)、hosts書換(イ)、メール送信(エ)はDNSとは別領域。
- DNSの反射・増幅攻撃の定義に一致する選択肢を選ぶ→ウを選択。
- 念のため「なぜ他が異なるか」を確認して確定する。
選択肢別の誤答解説
- ア: ICMPパケットの送信元を偽装し多数の宛先に送ることで被害者に大量のICMP応答を送らせる記述は、Smurf攻撃の説明に類似しますが「オープンリゾルバ」とは関係ありません。
- イ: hostsファイルを書き換えて偽サイトに誘導するのはローカル改竄やマルウェアによる被害で、オープンリゾルバの悪用ではありません。
- ウ: 送信元IPを偽装して多数のDNSサーバにDNS問合せを投げ、被害者へ大量の応答を返させるのは典型的なDNSリフレクション/アンプ攻撃で、オープンリゾルバを悪用するものです。
- エ: 「誰でも送信できるメールサーバを踏み台にしてなりすましメールを大量送信する」はオープンリレーを用いるスパム送信の説明で、DNSオープンリゾルバとは別種の問題です。
補足コラム(関連知識など)
DNSアンプリフィケーション攻撃は、問い合わせに対する応答が小さな問い合わせに比べて大きくなる(特にDNSSECやANYクエリ時)性質を利用して帯域を増幅します。対策としてはオープンリゾルバを公開しない、再帰問い合わせを外部に提供しない、Response Rate Limiting(RRL)の導入、ネットワーク境界でのIP送信元フィルタリング(BCP38)やレート制限が有効です。運用側は公開しているDNSサーバを定期的にスキャンしてオープンリゾルバ化していないか確認することも重要です。
FAQ(Q:/A: を 2〜3 組)
Q: オープンリゾルバとオープンリレーは同じですか?
A: いいえ。オープンリゾルバは誰でもDNS問合せに応答するDNSサーバ、オープンリレーは誰でも中継してメールを送信できるSMTPサーバであり、悪用の結果は異なります。
A: いいえ。オープンリゾルバは誰でもDNS問合せに応答するDNSサーバ、オープンリレーは誰でも中継してメールを送信できるSMTPサーバであり、悪用の結果は異なります。
Q: 自分のサーバがオープンリゾルバかどうか簡単に調べる方法は?
A: 外部から再帰問い合わせを送って応答があるか確認するか、外部スキャンツール(公開されているチェックサービス)で検査します。応答する場合は公開設定を見直す必要があります。
A: 外部から再帰問い合わせを送って応答があるか確認するか、外部スキャンツール(公開されているチェックサービス)で検査します。応答する場合は公開設定を見直す必要があります。
Q: 被害を減らすために個人ができる対策は?
A: 自宅ルータやローカルDNSの設定で外部からの再帰を禁止し、ISPに報告する、セキュリティ更新を適用するなどが有効です。
A: 自宅ルータやローカルDNSの設定で外部からの再帰を禁止し、ISPに報告する、セキュリティ更新を適用するなどが有効です。
関連キーワード: DNSリフレクション、アンプ攻撃、オープンリゾルバ、RRL, BCP38, DDoS, 再帰問い合わせ、DNSSEC, Smurf攻撃、オープンリレー
\ せっかくなら /
システムアーキテクトを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!