基本情報技術者試験 ap-2018h30h-a 午前 問36: 企業の DMZ 上で 1 台の DNS サーバを，インターネット公開用と，社内の PC 及びサーバからの名前解決の問合せに対応する社内用とで共用している。この

問題本文

企業の DMZ 上で 1 台の DNS サーバを，インターネット公開用と，社内の PC 及びサーバからの名前解決の問合せに対応する社内用とで共用している。この DNS サーバが，DNS キャッシュポイズニング攻撃を受けた結果，直接引き起こされ得る現象はどれか。

選択肢

• ア.DNS サーバのハードディスク上に定義されている DNS サーバ名が書き換わり，インターネットからの DNS 参照者が，DNS サーバに接続できなくなる。
• イ.DNS サーバのメモリ上にワームが常駐し，DNS 参照元に対して不正プログラムを送り込む。
• ウ.社内の利用者間の電子メールについて，宛先メールアドレスが書き換えられ，送信ができなくなる。
• エ.社内の利用者が，インターネット上の特定の Web サーバにアクセスしようとすると，本来とは異なる Web サーバに誘導される。

正解

エ. 社内の利用者が，インターネット上の特定の Web サーバにアクセスしようとすると，本来とは異なる Web サーバに誘導される。

解説

DNSキャッシュポイズニングは、DNSサーバ(特にキャッシュ機能をもつDNSサーバ)が一時的に保持する名前とIPアドレスの対応表(キャッシュ)を不正な値に書き換える攻撃である。社内用も兼ねるこのDNSサーバのキャッシュが汚染されると、社内利用者がドメイン名でアクセスした際に偽のIPアドレスが返され、本来とは異なる(攻撃者が用意した)Webサーバへ誘導されてしまう。これを述べたエが正解。

選択肢ごとの解説

• ア.DNSキャッシュポイズニングはメモリ上のキャッシュ(名前解決の対応)を書き換える攻撃であり、ハードディスク上のサーバ名定義そのものを書き換えるわけではない。誤り。
• イ.メモリ上にワームを常駐させて不正プログラムを送り込むのはワーム感染による別の被害であり、キャッシュポイズニングが直接引き起こす現象ではない。
• ウ.メールの宛先アドレスそのものが書き換えられるわけではなく、キャッシュポイズニングは名前解決の応答(IPアドレス)を偽る攻撃。記述は直接の結果として不適切。
• エ.偽のIPアドレスが返され、利用者が異なるWebサーバへ誘導されるのはキャッシュポイズニングが直接引き起こす典型的な現象であり、正しい。