情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和4年度秋期 午前Ⅰ 問14: WAF による防御が有効な攻撃として，最も適切なものはどれか。

問題本文

WAF による防御が有効な攻撃として，最も適切なものはどれか。

選択肢

• ア.DNS サーバに対する DNS キャッシュポイズニング
• イ.REST API サービスに対する API の脆弱性を狙った攻撃
• ウ.SMTP サーバの第三者不正中継の脆弱性を悪用したフィッシングメールの配信
• エ.電子メールサービスに対する電子メール爆弾

正解

イ. REST API サービスに対する API の脆弱性を狙った攻撃

解説

WAF(Web Application Firewall)はHTTP/HTTPS通信の内容を検査し、SQLインジェクションやクロスサイトスクリプティングなどWebアプリ層の攻撃を防ぐ。REST APIもHTTP上で動くWebアプリであり、APIの脆弱性を狙う攻撃の防御にWAFは有効なため、イが正解。ネットワーク層やメール、DNSへの攻撃は守備範囲外。実務では入力検証等のアプリ側対策とWAFを組み合わせる多層防御が望ましい。

選択肢ごとの解説

• ア.DNSキャッシュポイズニングはDNSプロトコルへの攻撃で、HTTPを見るWAFの対象外のため誤り。
• イ.REST APIはHTTP上のWebアプリで、その脆弱性を狙う攻撃はWAFで検査・防御でき正しい。
• ウ.SMTPの第三者中継悪用はメール層の問題で、HTTPを扱うWAFでは防げないため誤り。
• エ.電子メール爆弾はメールサービスへの攻撃で、WAFの守備範囲外のため誤り。