情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成31年度春期 午前Ⅱ 問11: DNS キャッシュポイズニング攻撃に対して有効な対策はどれか。
←情報処理安全確保支援士試験 平成31年度春期 午前Ⅱ
キャッシュポイズニング攻撃に対して有効な対策はどれか。
問題本文
DNS キャッシュポイズニング攻撃に対して有効な対策はどれか。
選択肢
- ア.DNS サーバにおいて,侵入したマルウェアをリアルタイムに隔離する。
- イ.DNS 問合せに使用する DNS ヘッダ内の ID を固定せずにランダムに変更する。
- ウ.DNS 問合せに使用する送信元ポート番号を 53 番に固定する。
- エ.外部からの DNS 問合せに対しては,宛先ポート番号 53 のものだけに応答する。
正解
イ. DNS 問合せに使用する DNS ヘッダ内の ID を固定せずにランダムに変更する。
解説
DNSキャッシュポイズニングは、攻撃者が偽の応答を本物より先にキャッシュサーバへ送り込み、偽IPを覚えさせる攻撃。成立にはトランザクションIDと送信元ポートの一致が必要なため、これらをランダム化して推測を困難にするのが有効。イが正解。実務ではソースポートランダム化に加え、根本対策としてDNSSECによる応答の正当性検証が推奨される。
選択肢ごとの解説
- ア.マルウェアの隔離は一般的な感染対策で、偽応答の注入を狙うキャッシュポイズニングの直接対策ではない。
- イ.問合せIDを固定せずランダム化すると攻撃者の応答偽装が困難になり、有効な対策で正解。
- ウ.送信元ポートを53番に固定すると推測されやすくなり、むしろ攻撃を容易にするため逆効果で誤り。
- エ.宛先ポート53のみ応答する設定はキャッシュ汚染の防止に寄与せず、有効な対策ではない。
情報処理安全確保支援士試験 平成31年度春期 午前Ⅱ の過去問一覧へ戻る・問11