情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成29年度秋期 午前Ⅱ 問6: DNS に対するカミンスキー攻撃（Kaminsky's attack）への対策はどれか。

問題本文

DNS に対するカミンスキー攻撃（Kaminsky's attack）への対策はどれか。

選択肢

• ア.DNS キャッシュサーバと権威 DNS サーバとの計 2 台の冗長構成とすることによって，過負荷によるサーバダウンのリスクを大幅に低減させる。
• イ.SPF（Sender Policy Framework）を用いて MX レコードを認証することによって，電子メールの送信元ドメインが詐称されていないかどうかを確認する。
• ウ.問合せ時の送信元ポート番号をランダム化することによって，DNS キャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。
• エ.プレースホルダを用いたエスケープ処理を行うことによって，不正な SQL 構文による DNS リソースレコードの書換えを防ぐ。

正解

ウ. 問合せ時の送信元ポート番号をランダム化することによって，DNS キャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。

解説

カミンスキー攻撃は、DNSキャッシュポイズニングを高速化した手法。存在しないサブドメインを大量に問い合わせさせ、本物の応答が返る前に偽の応答を送り込んでキャッシュを汚染する。成功には問合せのトランザクションIDと送信元ポート番号の両方を当てる必要があるため、送信元ポートをランダム化すれば的中確率が大幅に下がり対策になる。よってウが正しい。根本対策はDNSSECだが、まずポートランダム化が基本である。

選択肢ごとの解説

• ア.冗長構成は可用性対策で、キャッシュ汚染の偽応答を防ぐものではなく対策にならず誤り。
• イ.SPFはメール送信元ドメイン詐称の対策で、DNSキャッシュポイズニングとは無関係で誤り。
• ウ.送信元ポートをランダム化し偽応答の的中確率を下げるカミンスキー攻撃対策どおりで正解。
• エ.プレースホルダによるエスケープはSQLインジェクション対策で、DNS攻撃とは無関係で誤り。