情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成26年度秋期 午前Ⅱ 問9: DNS キャッシュサーバに対して外部から行われるキャッシュポイズニング攻撃への対策のうち，適切なものはどれか。

問題本文

DNS キャッシュサーバに対して外部から行われるキャッシュポイズニング攻撃への対策のうち，適切なものはどれか。

選択肢

• ア.外部ネットワークからの再帰的な問合せに応答できるように，コンテンツサーバにキャッシュサーバを兼ねさせる。
• イ.再帰的な問合せに対しては，内部ネットワークからのものだけに応答するように設定する。
• ウ.再帰的な問合せを行う際の送信元のポート番号を固定する。
• エ.再帰的な問合せを行う際のトランザクション ID を固定する。

正解

イ. 再帰的な問合せに対しては，内部ネットワークからのものだけに応答するように設定する。

解説

キャッシュポイズニングは、偽の応答を注入してDNSキャッシュサーバに誤った名前解決結果を覚え込ませる攻撃。対策の基本は、再帰問合せの応答先を内部ネットワークに限定しオープンリゾルバ化を防ぐことで、外部からの注入機会を減らせる。よってイが正解。ポート番号やトランザクションIDはランダム化が有効で、固定は逆効果。

選択肢ごとの解説

• ア.コンテンツとキャッシュを兼ねさせ外部の再帰問合せに応答するとオープンリゾルバ化し危険で誤り。
• イ.再帰問合せを内部からのみに制限し注入機会を減らす正しい対策である。
• ウ.送信元ポートは固定でなくランダム化すべきで、固定は推測を許し誤り。
• エ.トランザクションIDも固定ではなくランダム化すべきで、固定は誤り。