基本情報技術者試験 ap-2022r04a-a 午前 問42: WAF による防御が有効な攻撃として，最も適切なものはどれか。

問題本文

WAF による防御が有効な攻撃として，最も適切なものはどれか。

選択肢

• ア.DNS サーバに対する DNS キャッシュポイズニング
• イ.REST API サービスに対する API の脆弱性を狙った攻撃
• ウ.SMTP サーバの第三者不正中継の脆弱性を悪用したフィッシングメールの配信
• エ.電子メールサービスに対する電子メール爆弾

正解

イ. REST API サービスに対する API の脆弱性を狙った攻撃

解説

WAF（Web Application Firewall）が防御対象とする通信の種類を問う問題。WAFはWebアプリケーションへのHTTP/HTTPS通信の内容を検査し、SQLインジェクションやクロスサイトスクリプティングなどアプリ層を狙った攻撃を遮断する装置である。REST APIもHTTPベースのWebアプリケーションであり、その脆弱性を狙った攻撃はWAFで検査・防御できるため、イが正解となる。

選択肢ごとの解説

• ア.DNSキャッシュポイズニングはDNSサーバ（名前解決）への攻撃でありHTTP通信ではないため、Web通信を検査するWAFの対象外で誤り。
• イ.REST APIはHTTPで提供されるWebアプリケーションであり、その脆弱性を突くリクエストの内容をWAFが検査・遮断できるため正しい。
• ウ.SMTPサーバの不正中継を悪用したメール配信はメール（SMTP）の問題であり、Web通信を扱うWAFの対象外で誤り。
• エ.電子メール爆弾（大量のメール送付）はメールサービスへの攻撃であり、Web通信を検査するWAFでは防御できないため誤り。