応用情報技術者試験 応用情報技術者試験 令和6年度春期 午前 問41: WAF による防御が有効な攻撃として，最も適切なものはどれか。

問題本文

WAF による防御が有効な攻撃として，最も適切なものはどれか。

選択肢

• ア.DNS サーバに対する DNS キャッシュポイズニング
• イ.REST API サービスに対する API の脆弱性を狙った攻撃
• ウ.SMTP サーバの第三者不正中継の脆弱性を悪用したフィッシングメールの配信
• エ.電子メールサービスに対する大量，かつ，サイズの大きな電子メールの配信

正解

イ. REST API サービスに対する API の脆弱性を狙った攻撃

解説

WAF（Web Application Firewall）は、Web アプリケーションへの攻撃を防御する専用のファイアウォールで、SQL インジェクションやクロスサイトスクリプティング（XSS）など、HTTP/HTTPS の通信内容（リクエスト）を検査して不正なものを遮断する。REST API も HTTP 上で動作する Web アプリケーションの一種なので、その脆弱性を狙った攻撃は WAF の検査対象となり、防御が有効である。したがって正解は「イ」。

選択肢ごとの解説

• ア.DNS キャッシュポイズニングは DNS サーバ（UDP の名前解決）を標的とする攻撃であり、Web アプリケーションへの HTTP 通信を検査する WAF では防げない。
• イ.REST API は HTTP 上で動作する Web アプリケーションであり、その脆弱性を突くリクエストは WAF が内容検査して遮断できるため、WAF による防御が有効である。
• ウ.SMTP サーバの第三者中継（不正中継）はメール配送の脆弱性であり、Web 通信を扱う WAF の対象外で、メールサーバ側の中継制限で対策する。
• エ.大量・大容量のメール配信はメールサービスへの負荷攻撃であり、Web アプリケーションを保護する WAF では対応できない。