情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和7年度春期 午前Ⅱ 問4: DNS に対するカミンスキー攻撃への対策はどれか。

問題本文

DNS に対するカミンスキー攻撃への対策はどれか。

選択肢

• ア.DNS キャッシュサーバと権威 DNS サーバとの計 2 台の冗長構成とすることによって，過負荷によるサーバダウンのリスクを大幅に低減させる。
• イ.SPF を用いて DNS リソースレコードを認証することによって，電子メールの送信元ドメインが詐称されていないかどうかを確認する。
• ウ.SQL 文の組立てにプレースホルダを用いることによって，不正な SQL 文による DNS リソースレコードの書換えを防ぐ。
• エ.問合せ時の送信元ポート番号をランダム化することによって，DNS キャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。

正解

エ. 問合せ時の送信元ポート番号をランダム化することによって，DNS キャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。

解説

カミンスキー攻撃は、存在しない名前を多数問い合わせつつ偽の応答を送り込み、トランザクションIDを推測してキャッシュを汚染する手法。応答の正当性は問合せ元ポート番号とIDで判定されるため、送信元ポートをランダム化すると当てるべき組合せが激増し、汚染成功確率を大幅に下げられる。エが正解。実務ではDNSキャッシュサーバの基本対策であり、DNSSECも併用すると堅牢になる。

選択肢ごとの解説

• ア.サーバ冗長化は可用性対策であり、キャッシュ汚染を防ぐカミンスキー攻撃対策にはならない。
• イ.SPFはメール送信元ドメイン詐称対策で、DNSキャッシュ汚染とは無関係なため誤り。
• ウ.プレースホルダはSQLインジェクション対策であり、DNS攻撃の対策ではないため誤り。
• エ.送信元ポートをランダム化し偽応答を当てにくくする、カミンスキー攻撃の正当な対策で正解。