※本情報は解説作成時点のもので、閲覧時点では法改正等により情報が変更になっている場合がございます。あらかじめご理解いただければ幸いです。
正解は「B.外部のDNSクライアントからの再帰的問合せを受け付けない設定にする。」です。
DNSキャッシュポイズニング対策として、外部からの再帰的問合せを制限し、オープンリゾルバとならないようにすることが重要です。
この記事では、情報セキュリティマネジメント(SG)試験(令和7年度)で出題された第5問「DNSキャッシュポイズニング攻撃の対策」について、試験対策の観点からわかりやすく解説します。
Contents
DNSキャッシュポイズニングとは
DNSキャッシュポイズニング=偽のDNS応答をキャッシュさせる攻撃
攻撃者が偽のDNS応答を送り込み、DNSキャッシュサーバに誤ったIPアドレスを記録させることで、利用者を不正なサイトへ誘導する攻撃です。
特に外部から再帰的問合せを受け付けるオープンリゾルバは、攻撃対象となりやすくなります。
他の選択肢との違い
- A:DNSの待ち受けポートは通常53番であり、固定しても対策にはならない。
- C:トランザクションIDを固定すると予測が容易になり、逆に攻撃を受けやすくなる。
- D:非再帰的問合せの設定は権威DNSサーバの動作に関するものであり、キャッシュポイズニング対策の本質ではない。
外部からの不要な再帰的問合せを遮断することが重要です。
問われているポイント
この問題では、DNSの仕組みと再帰的問合せの役割を理解しているかが問われています。
キャッシュサーバと権威サーバの違いも整理しておきましょう。
気を付けてほしい点(勘違いしやすいポイント)
- トランザクションIDはランダム化することが安全性向上につながる
- オープンリゾルバの放置は重大なリスクとなる
補足
近年はDNSSECの導入も有効な対策として知られています。
情報セキュリティマネジメント(SG)試験での出題パターン
ネットワーク基礎とセキュリティ対策を結び付けた問題が出題されます。
仕組みを理解した上で、どの設定が有効か判断できるようにしましょう。
この知識が使われている問題
まとめ
- DNSキャッシュポイズニングは偽応答をキャッシュさせる攻撃
- 外部からの再帰的問合せを制限することが有効
- DNSの仕組みと役割の違いを理解することが重要