応用情報技術者試験平成30年秋午前問39 解説付き過去問

問題

DNSキャッシュサーバに対して外部から行われるキャッシュポイズニング攻撃への対策のうち、適切なものはどれか。

外部ネットワークからの再帰的な問合せにも応答できるように、コンテンツサーバにキャッシュサーバを兼ねさせる。

再帰的な問合せに対しては、内部ネットワークからのものだけを許可するように設定する。

再帰的な問合せを行う際の送信元のポート番号を固定する。

再帰的な問合せを行う際のトランザクションIDを固定する。

この問題は、DNSキャッシュサーバに対するキャッシュポイズニング攻撃とその対策について問うています。DNSキャッシュポイズニングは、攻撃者がDNSレスポンスを偽造してキャッシュサーバに不正な情報を保存させ、それによってユーザーを悪意のあるサイトへ誘導するセキュリティリスクです。

キャッシュポイズニングの基本
DNSキャッシュポイズニングは、攻撃者がDNS応答を偽造し、キャッシュサーバがこの偽情報を信じて保存することによって発生します。これにより、正規のサイト名が攻撃者指定のIPアドレスに解決されるようになり、ユーザーが意図しないサイトへ誘導される可能性があります。
対策の選択肢の評価
選択肢の中で、「再帰的な問合せに対しては、内部ネットワークからのものだけを許可するように設定する」というものが最も効果的です。この設定により、外部ネットワークからの潜在的に危険な問い合わせがブロックされ、キャッシュポイズニングのリスクが大幅に低減されます。他の選択肢では、攻撃者によるポート番号やトランザクションIDの予測または操作が可能なため、効果的な対策とは言えません。

したがって、DNSキャッシュポイズニング攻撃に対する最も効果的な対策は、「再帰的な問合せに対しては、内部ネットワークからのものだけを許可するように設定する」という選択肢です。これにより、外部からの不正なアクセスを防ぎ、システムの安全性を確保することができます。