情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和6年度秋期 午前Ⅰ 問15: DNSキャッシュポイズニング攻撃に対して有効な対策はどれか。
←情報処理安全確保支援士試験 令和6年度秋期 午前Ⅰ
攻撃に対して有効な対策はどれか。
選択肢
- ア.DNSサーバにおいて,侵入したマルウェアをリアルタイムに隔離する。
- イ.DNS問合せに使用するDNSヘッダー内のIDを固定せずにランダムに変更する。
- ウ.DNS問合せに使用する送信元ポート番号を53番に固定する。
- エ.外部からのDNS問合せに対しては,宛先ポート番号53のものだけに応答する。
正解
イ. DNS問合せに使用するDNSヘッダー内のIDを固定せずにランダムに変更する。
解説
DNSキャッシュポイズニングは、攻撃者が偽の応答を本物より先にキャッシュサーバへ送り込み、誤ったIP対応を覚えさせる攻撃。成功には問合せのトランザクションIDや送信元ポートを推測する必要があるため、これらをランダム化して推測を困難にすることが有効でイが正しい。本質的にはDNSSECによる応答の真正性検証が根本対策。利用者を偽サイトへ誘導されるため影響は大きい。
選択肢ごとの解説
- ア.マルウェアの隔離はキャッシュ汚染とは別の対策で、偽応答の注入そのものを防げず有効でない。
- イ.問合せIDを固定せずランダム化すると偽応答の一致が困難になり、キャッシュ汚染対策として正しい。
- ウ.送信元ポートを53番に固定すると推測が容易になり、むしろ攻撃を成功しやすくする逆効果。
- エ.宛先ポート53への応答に限る運用はキャッシュ汚染の偽応答推測を防げず、有効な対策にならない。
情報処理安全確保支援士試験 令和6年度秋期 午前Ⅰ の過去問一覧へ戻る・問15