情報処理安全確保支援士 平成29年秋期 午前U 問6

午前U 問6

DNSに対するカミンスキー攻撃(Kaminsky's attack)への対策はどれか。
  • DNSキャッシュサーバと権威DNSサーバとの計2台の冗長構成とすることによって,過負荷によるサーバダウンのリスクを大幅に低減させる。
  • SPF(Sender Policy Framework)を用いてMXレコードを認証することによって,電子メールの送信元ドメインが詐称されていないかどうかを確認する。
  • 問合せ時の送信元ポート番号をランダム化することによって,DNSキャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。
  • プレースホルダを用いたエスケープ処理を行うことによって,不正なSQL構文によるDNSリソースレコードの書換えを防ぐ。

分類

テクノロジ系 » セキュリティ » 情報セキュリティ

正解

解説

カミンスキー攻撃は、DNSキャッシュポイズニング攻撃の1つで、キャッシュに存在しないサブドメインへのDNSクエリ発行を利用して、攻撃を従来より効率良く成立させる手法です。この攻撃手法の存在を発見したセキュリティ研究家のダン・カミンスキー氏にちなんでカミンスキー攻撃と呼ばれています。

DNSキャッシュポイズニングでは、キャッシュサーバの再帰問合せに対して、正規の権威サーバよりも前に応答を返し、DNSサーバに偽のキャッシュ情報を登録させることで攻撃が成立します。しかしDNSの仕様上、DNSクエリに対して有効期限内のキャッシュが存在すればキャッシュサーバはそれを優先的に使用するため、再帰問合せが行われるのはキャッシュの有効期限が切れる数十分から数時間に1回です。つまり、単純にキャッシュ切れを待つのであれば、攻撃のチャンスはそれほど多い訳ではありません。
カミンスキー攻撃では、キャッシュに存在しないサブドメイン(a.example.com,b.example.com…)のDNSクエリを利用することでキャッシュサーバに再帰問合せの実行を強制します。これにより攻撃成立の機会を大幅に増加させ、攻撃を効率的に行えるようになっています。

DNSクエリのポートは仕様上UDP/53と規定されていますが、ポート番号が53番に固定されていると攻撃が成立しやすくなります。応答パケットの偽装を難しくするには、ランダムに選択したポート番号を通信に使用すること(ソースポートランダマイゼーション)やDNSSECの導入が有効な対策となります。
  • DoS攻撃への対策です。
  • スパムメールへの対策です。
  • 正しい。カミンスキー攻撃への対策です。
  • SQLインジェクションへの対策です。
© 2014-2019 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop