基本情報技術者試験「DNSキャッシュポイズニング」の問題
V社の利用者が正しいドメイン名を入力したにもかかわらず、偽のサイトへ誘導される事象が複数発生した。社内DNSキャッシュサーバに、攻撃者が偽の名前解決情報を注入した疑いがある。この攻撃への対策として、最も適切なものはどれか。
ア利用者の端末にウイルス対策ソフトを導入し、マルウェア感染を監視する。
イ応答に付与された署名を検証する仕組み(DNSSEC)を導入する。
ウアクセス先のIPアドレスを利用者が手で入力して接続する運用にする。
エ社内のすべての利用者に共通の強固なパスワードを配布して使わせる。
正解
イ.応答に付与された署名を検証する仕組み(DNSSEC)を導入する。
正しいドメイン名を入力しても偽サイトへ誘導されるのは、DNSキャッシュサーバに偽の名前解決情報が注入されるDNSキャッシュポイズニングである。DNSSECは応答に付与されたディジタル署名を検証し、受け取った名前解決情報が正規の権威サーバ由来で改ざんされていないことを確認できるため、偽情報を排除し攻撃を根本的に防げる。
?選択肢ごとの解説
ア ×ウイルス対策ソフトは端末のマルウェア感染対策であり、DNSサーバ上の名前解決情報が汚染される問題は検知も防止もできない。
イ ○正しいドメイン名を入力しても偽サイトへ誘導されるのは、DNSキャッシュサーバに偽の名前解決情報が注入されるDNSキャッシュポイズニングである。DNSSECは応答に付与されたディジタル署名を検証し、受け取った名前解決情報が正規の権威サーバ由来で改ざんされていないことを確認できるため、偽情報を排除し攻撃を根本的に防げる。
ウ ×IPアドレスの手入力は運用負荷が高く現実的でないうえ、アドレスの管理や変更に伴う誤りを招き、汚染された名前解決の信頼性を回復する仕組みにもならない。
エ ×共通パスワードの配布は認証管理として不適切なうえ、名前解決の汚染という本攻撃の原因とは無関係である。
✎くわしく
DNSキャッシュポイズニングは『名前解決の信頼性(完全性・真正性)』を狙う攻撃である。利用者の入力やドメイン名は正しいまま誘導先だけがすり替わるため、外見では気づきにくい。応答の真正性を保証するDNSSECが本質的対策となる。
✓本番での押さえどころ
試験のコツ
『正しいドメイン名なのに偽サイトへ』はDNSキャッシュポイズニング。対策は応答の正当性を検証するDNSSEC。
覚え方
DNSは『住所案内係』。案内が偽られないよう、回答に本物の印(署名=DNSSEC)を付ける。
よくある誤り
端末側の対策や運用での回避を選びがちだが、本攻撃はドメイン名が正しくても解決先が偽になるため、応答の真正性検証でなければ根本対処にならない。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0022