情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度春期 午前Ⅱ 問5: DNS に対するカミンスキー攻撃(Kaminsky's attack)への対策はどれか。
←情報処理安全確保支援士試験 令和5年度春期 午前Ⅱ
に対するカミンスキー攻撃(Kaminsky's attack)への対策はどれか。
問題本文
DNS に対するカミンスキー攻撃(Kaminsky's attack)への対策はどれか。
選択肢
- ア.DNS キャッシュサーバと権威 DNS サーバとの計 2 台の冗長構成とすることによって,過負荷によるサーバダウンのリスクを大幅に低減させる。
- イ.SPF(Sender Policy Framework)を用いて DNS リソースレコードを認証することによって,電子メールの送信元ドメインが詐称されていないかどうかを確認する。
- ウ.問合せ時の送信元ポート番号をランダム化することによって,DNS キャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。
- エ.プレースホルダを用いたエスケープ処理を行うことによって,不正な SQL 構文による DNS リソースレコードの書換えを防ぐ。
正解
ウ. 問合せ時の送信元ポート番号をランダム化することによって,DNS キャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。
解説
カミンスキー攻撃は、DNSキャッシュサーバの問合せに対し攻撃者が偽の応答を素早く送り込みキャッシュを汚染する手法。応答の正当性判定に使われるトランザクションIDと送信元ポート番号を推測されると成立しやすい。送信元ポートをランダム化すると組合せが増え、偽応答が当たる確率が大幅に下がる。ウが対策として正しい。実務ではDNSSECによる応答の真正性検証も根本的対策となる。
選択肢ごとの解説
- ア.冗長構成は可用性向上策でキャッシュ汚染の防止には直接効かず、本攻撃の対策ではなく誤り。
- イ.SPFは送信元メールドメインの詐称検知の仕組みで、DNSキャッシュ汚染対策ではなく誤り。
- ウ.送信元ポートのランダム化で偽応答が当たる確率を下げる点がカミンスキー攻撃対策で正しい。
- エ.プレースホルダによるエスケープはSQLインジェクション対策でDNS攻撃とは無関係で誤り。
情報処理安全確保支援士試験 令和5年度春期 午前Ⅱ の過去問一覧へ戻る・問5