応用情報技術者試験 応用情報技術者試験 平成30年度秋期 午前 問39: DNS キャッシュサーバに対して外部から行われるキャッシュポイズニング攻撃への対策のうち，適切なものはどれか。

問題本文

DNS キャッシュサーバに対して外部から行われるキャッシュポイズニング攻撃への対策のうち，適切なものはどれか。

選択肢

• ア.外部ネットワークからの再帰的な問合せにも応答できるように，コンテンツサーバにキャッシュサーバを兼ねさせる。
• イ.再帰的な問合せに対しては，内部ネットワークからのものだけを許可するように設定する。
• ウ.再帰的な問合せを行う際の送信元のポート番号を固定する。
• エ.再帰的な問合せを行う際のトランザクション ID を固定する。

正解

イ. 再帰的な問合せに対しては，内部ネットワークからのものだけを許可するように設定する。

解説

DNSキャッシュポイズニングは、キャッシュサーバに偽の応答を送り込んで不正なIPアドレスを覚えさせる攻撃。外部の不特定多数から再帰的問合せを受け付ける状態（オープンリゾルバ）だと攻撃を受けやすい。そこで再帰的問合せを内部ネットワークからのものだけに限定すれば、外部からの攻撃の入口を塞げる。これが正しい対策でありイが正解。

選択肢ごとの解説

• ア.外部からの再帰問合せに応答できるようにする（オープンリゾルバ化する）と、むしろ攻撃を受けやすくなる。対策に逆行しており誤り。
• イ.再帰的問合せを内部ネットワークからのものだけに許可し、外部からの問合せを受け付けないようにする正しい対策。正解。
• ウ.問合せの送信元ポート番号は、むしろランダム化することで偽応答を当てにくくする。固定すると攻撃者が偽応答を成立させやすくなり逆効果で誤り。
• エ.トランザクションID（問合せID）もランダム化すべきもの。固定すると偽応答が一致しやすくなりポイズニングを助長するため誤り。