情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。

DNSキャッシュポイズニングとは、言葉のとおり、「DNSのキャッシュ」に「ポイズニング(毒を盛る)」ことだ。嘘のDNS情報を入れ込み、正規のサイトにアクセスしているつもりが、違うサイトにアクセスさせる。これで、ウイルスに感染させたり、個人情報を盗んだりする。DNS情報を偽装するDNSスプーフィングの代表的なものだ。

過去問(H27AP春午前問37)では、「DNSキャツシュポイズニングに分類される攻撃内容」として、「PCが参照するDNSサーバに偽のドメイン情報を注入して,偽装されたサーバにPCの利用者を誘導する」と述べられている。

具体的に見てみよう。以下のように、PCでは自社のDNSサーバにDNSの問い合わせをする。本来のDNSサーバから結果が返ってくる前に毒(偽装した回答)を入れ込むのだ。
素材3_5_DNSキャッシュポイズニングその1
情報セキュリティスペシャリスト試験を目指す女性SE
偽りのDNS情報をキャッシュさせることなんて,本当にできるのですか?
DNSの回答までは1秒もかからないと思います。
そんな絶妙のタイミングで巧妙に偽装した回答を返せるわけがないと思います。
その疑問は自然だね。良く分かる。
では、以下のように、悪意のある攻撃者が自分で問い合わせをしたらどうだろう。本来のDNSからの回答を偽装したパケットまで準備しておけば、本来の解答より早く返すことは可能だ。これにより、DNSサーバに偽の情報をキャッシュさせる。
素材3_5_DNSキャッシュポイズニングその2
 
情報セキュリティスペシャリスト試験を目指す女性SE 
たしかにDNSの問い合わせはUDPなので、3wayハンドシェークなどの処理がありません。でも、なんらかのID情報を持っていれば、このような攻撃は防げるのではないですか?

実はID情報を持っている。DNSで問い合わせするときに、問合せのID情報を付けて送っている。回答のIDが違ったら、偽の情報と分かる仕組みだ。
しかし、IDは16ビットであり、65536通りしなない。なので、攻撃者は65536通のIDを付けた回答を全て送り付けるのだ。これであれば、DNSサーバはIDが一致したものを信じてしまうのである。
以下がとても詳しく解説されている。
https://www.nic.ad.jp/ja/newsletter/No40/0800.html

過去問を解いてみよう。

問19 企業のDMZ上で1台のDNSサーバをインターネット公開用と社内用で共用している。このDNSサーバが,DNSキャッシュポイズニングの被害を受けた結果,引き起こされ得る現象はどれか。
ア DNSサーバで設定された自社の公開WebサーバのFQDN情報が書き換えられ,外部からの参照者が,本体とは異なるWebサーバに誘導される。
イ DNSサーバのメモリ上にワームが常駐し,DNS参照元に対して不正プログラムを送り込む。
ウ 社内の利用者が,インターネット上の特定のWebサーバを参照する場合に,本来とは異なるWebサーバに誘導される。
エ 電子メールの不正中継対策をした自社のメールサーバが,不正中継の踏み台にされる。(H21NW午前Ⅱ問19)(H25SC春午前Ⅱ問12)
もうお分かりだと思うが、正解はウ
コメント
コメントフォーム
評価する
  • 1
  • 2
  • 3
  • 4
  • 5
  • リセット
  • 1
  • 2
  • 3
  • 4
  • 5
  • リセット
トラックバック

このページのトップヘ