応用情報技術者試験 応用情報技術者試験 令和6年度秋期 午前 問42: DNS キャッシュポイズニング攻撃に対して有効な対策はどれか。

問題本文

DNS キャッシュポイズニング攻撃に対して有効な対策はどれか。

選択肢

• ア.DNS サーバにおいて，侵入したマルウェアをリアルタイムに隔離する。
• イ.DNS 問合せに使用する DNS ヘッダー内の ID を固定せずにランダムに変更する。
• ウ.DNS 問合せに使用する送信元ポート番号を 53 番に固定する。
• エ.外部からの DNS 問合せに対しては，宛先ポート番号 53 のものだけに応答する。

正解

イ. DNS 問合せに使用する DNS ヘッダー内の ID を固定せずにランダムに変更する。

解説

DNS キャッシュポイズニングは、DNS キャッシュサーバの問合せに対し、攻撃者が正規の権威サーバより先に偽の応答を送り込み、誤った名前解決情報（偽のIPアドレス）をキャッシュさせる攻撃である。攻撃者が偽応答を成立させるには、問合せの DNS ヘッダー内の ID（トランザクションID）と送信元ポート番号を当てる必要がある。これらを毎回ランダムに変えると攻撃者が値を推測しにくくなり成功確率が下がるため、“DNS ヘッダー内の ID をランダムに変更する”としたイが有効な対策となる。

選択肢ごとの解説

• ア.マルウェアの隔離はマルウェア対策であり、偽応答を送り込むキャッシュポイズニングの対策にはならないため誤り。
• イ.正しい。問合せごとに DNS ヘッダーの ID をランダム化すると、攻撃者が偽応答に正しい ID を合わせにくくなり、キャッシュポイズニングの成功を困難にできる（送信元ポートのランダム化と併用される）。
• ウ.送信元ポートを 53 番に固定すると値が予測しやすくなり、かえって攻撃を容易にするため逆効果で誤り。ランダム化が有効である。
• エ.宛先ポート 53 のものだけに応答するのは通常の DNS の動作であり、偽応答の混入を防ぐ効果はないため誤り。