情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅱ 問12: DNS キャッシュポイズニング攻撃に対して有効な対策はどれか。

問題本文

DNS キャッシュポイズニング攻撃に対して有効な対策はどれか。

選択肢

• ア.DNS サーバで，マルウェアの侵入をリアルタイムに検知する。
• イ.DNS 問合せに使用する DNS ヘッダ内の ID を固定せずにランダムに変更する。
• ウ.DNS 問合せに使用する送信元ポート番号を 53 番に固定する。
• エ.外部からの DNS 問合せに対しては，宛先ポート番号 53 のものだけに応答する。

正解

イ. DNS 問合せに使用する DNS ヘッダ内の ID を固定せずにランダムに変更する。

解説

DNSキャッシュポイズニングは、攻撃者が正規応答より先に偽の応答をキャッシュサーバへ送り込み、誤ったIP情報をキャッシュさせる攻撃。偽応答が受理されるには問合せのトランザクションID等を一致させる必要があるため、IDを固定せずランダム化(加えて送信元ポートもランダム化)すると推測が困難になり有効。マルウェア検知や送信元ポートを53に固定する策は本質的対策にならない。実務ではDNSSECによる応答の真正性検証も併用される。

選択肢ごとの解説

• ア.マルウェア侵入検知はキャッシュ汚染の防止策とは無関係で誤り。
• イ.問合せIDをランダム化し偽応答の的中を困難にする有効な対策で正しい。
• ウ.送信元ポートを53に固定すると逆に推測が容易になり、汚染を助長するため誤り。
• エ.宛先ポート53のみ応答する設定は通常動作で、キャッシュ汚染対策にはならず誤り。