応用情報技術者過去問題 平成22年春期 午後問9

問9 情報セキュリティ

DNSサーバのセキュリティ対策に関する次の記述を読んで,設問1〜4に答えよ。

 M社は,ある製品の開発,販売を手掛ける企業であり,東京本社のほかに,大阪と福岡に営業所をもっている。自社のホームページは東京本社に設置したWebサーバ W1 で運営しており,自社製品のショッピングサイトは同じく東京本社に設置した別のWebサーバ W2 を使っている。M社のWebサーバ W1,W2 のホスト名の情報は,東京本社に設置したDNSサーバ D1 で管理している。東京本社はインターネットサービスプロバイダ(以下,ISPという)Xと,大阪営業所及び福岡営業所はISP Yと契約してインターネットに接続している。M社のネットワーク構成を図に示す。また,M社のPCに設定されているDNSサーバの情報を表に示す。
pm09_1.gif/image-size:501×391
 あるとき,掲載されている商品を確認するためにM社のショッピングサイトにアクセスしていた福岡営業所の社員Aさんから,①「ホームページのリンクをクリックしてショッピングサイトにアクセスしようとしたところ,いつも表示されるショッピングサイトとは違うサイトが表示された。」という報告が東京本社に入った。M社のネットワーク管理者Bさんが,東京本社と大阪営業所に在席する社員に指示し,各自のPCから,Aさんの報告と同様の手順でショッピングサイトにアクセスさせてみたところ,Aさんの報告のような状態にはならなかった。そこで,原因究明のためにセキュリティ対策会社であるN社に調査と対策の検討を依頼した。
 しばらくした後,Aさんから②「再度同様の手順でアクセスしたところ,今度は正しいショッピングサイトが表示された。」という報告が入った。
 調査を開始したN社の担当者Cさんは,東京本社に設置されているWebサーバ W1,W2 及びDNSサーバ D1 に改ざんの跡がないかを確認したが,コンテンツの異常や不正アクセスを示す証跡は発見されなかった。大阪営業所及び福岡営業所に設置されているPCのウイルスチェック結果やDNSサーバ D2 と D3 の状態も確認したが,異常は発見されなかった。さらに,ISP X及びISP Yにインシデントの発生状況について問い合わせたが,当該期間での発生はないとの回答を受けた。
 調査結果から,Cさんは"DNSキャッシュポイズニング"が今回の現象の原因だろうと判断した。Cさんが取りまとめた調査結果の概略は,次のとおりである。

〔調査結果の概略〕
  • 福岡営業所で発生した現象は,DNSキャッシュポイズニングが原因だと推定される。
  • 具体的には,aのDNSキャッシュに偽りの情報が一時的に埋め込まれていたので,Aさんからの報告の現象が発生した。
  • DNSキャッシュポイズニングの攻撃手法は各種あるが,今回のものは2008年に公表されたカミンスキー・アタックである可能性が考えられる。
  • aのDNSソフトウェアのバージョンが古いので,早急にカミンスキー・アタック対策を施した最新版を導入するべきである。
  • DNSキャッシュポイズニングへの根本的な対応策としては,DNSサーバからの応答に公開鍵暗号方式で署名するbの導入が望まれるが,利用可能になるまでしばらく時間が必要である。現時点では,東京本社,大阪営業所,福岡営業所のPCが参照するDNSサーバに偽りの情報が埋め込まれる可能性を低減する工夫をするべきである。
次は,調査完了後のBさんとCさんの会話である。

〔調査完了後の会話〕
C:
今回の福岡営業所で発生した現象は,DNSキャッシュポイズニングが原因だったと思われます。DNSキャッシュポイズニングについては御存じですか。
B:
名前は聞いたことがありますが,実際に発生したのを見たのは初めてです。
C:
今後の対応策ですが,まずは今回の現象の内容について,M社全体に知らせた方がよいでしょう。
B:
どのような内容を知らせたらよいでしょうか。
C:
第一報として,起こった事実を正確に伝えることが大切ですね。cと,dの2点は,必ず含めるようにしてください。DNSキャッシュポイズニングについては,別途時間を設けて,社員へのセキュリティ教育の一環で解説するのがよいと思います。
B:
分かりました。文案を考えて,社内のポータルサイトなどで知らせるように手配します。ところで,福岡営業所のPCのDNS設定はどうしたらよいでしょうか。ISP YのDNSサーバYに変更すればよいですか。
C:
それよりも,大阪営業所と福岡営業所のPCに設定するDNSサーバを,東京本社に設置されているDNSサーバ D1 に変更したらどうでしょう。
B:
全社のPCが同じDNSサーバを利用することで,管理対象のDNSサーバを一元化するわけですね。そうすると,ネットワーク全体の運用管理も単純化できます。
C:
イントラネット間は,現在使っているインターネット接続を使って結ぶのが経済的ですね。東京本社と大阪営業所,福岡営業所の間を,eで結ぶわけです。
B:
そうするには,東京本社と大阪営業所,福岡営業所が一つのネットワークになるので,PCに割り当てるfに重複がないか調査する必要がありますね。早速調べてみることにします。
C:
DNSサーバ D1 は,現在DNSコンテンツサーバの機能(Webサーバなどの情報をインターネットに提供する機能)とDNSキャッシュサーバの機能(社内のPCなどからの問合せを中継する機能)を提供しています。DNSキャッシュサーバへのgからのアクセスを制限するために,DNSコンテンツサーバとDNSキャッシュサーバの機能を分離した方がよいですね。
B:
その場合,DNSキャッシュサーバはネットワークのどこに配置すべきでしょうか。
C:
今のDNSサーバ D1 と同じDMZに置くことも可能ですが,できればPCなどが置かれているイントラネットがよいでしょう。東京本社のPCと同様のセキュリティポリシによって,ファイアウォールで保護するのが適切だと思います。

設問1

本文中の下線①,②の現象について,(1),(2)に答えよ。
  • のようにして,目的とは異なるWebサイトに誘導されて,その結果個人情報などを盗まれてしまう脅威の名称を解答群の中から選び,記号で答えよ。
  • ①の状態から②の状態に変化した理由を,20字以内で述べよ。
解答群
  • 改ざん
  • ソーシャルエンジニアリング
  • 盗聴
  • フィッシング
  • 不正侵入

-解答入力欄-


-解答例・解答の要点-

    • キャッシュの有効期限が切れたから (16文字)

-解説-

    • 改ざんは、Webサーバに不正侵入しWebサイトに格納されているファイルの内容を書き換えてしまう行為です。
    • ソーシャルエンジニアリングは、技術的な方法ではなく人の弱みに付け込んでパスワードなどを不正に取得する手口です。ユーザの後ろからパスワードの入力画面を盗み見る行為や、システム管理者やメンテナンス業者を装い、電話口でパスワードを聞き出す行為がこれに該当します。
    • 盗聴は、通信経路にパケットを監視する通信機器を設置して許可なく取得する行為です。暗号化されていないデータが盗聴されると情報の漏えいとなってしまいます。
    • 正しい。フィッシングは、有名企業や銀行などの組織を装ったメールを発信し、だまされた受信者を本物そっくりなWebサイトに誘導することで、そこの入力フォームに入力した情報などの個人情報を不正に搾取する行為です。
    • 不正侵入は、本来許可されていない方法でシステムの内部に侵入する行為です。
  • DNSキャッシュは、一度行われたDNS名前解決の結果をパソコンに一定時間記録(キャッシュ)し、次回同じサイトを訪れる時にはパソコンに記録されたキャッシュを検索して素早くURLをIPアドレスに変換することを可能にする仕組みです。
    DNSキャッシュには、常に最新の情報に更新していくためTTL(Time to Live,有効期限)が設定されています。Aさんの再度のアクセスが"しばらくした後"に行われたという記述から、汚染されたDNSキャッシュの有効期限が過ぎて、DNSサーバに名前解決問合せが行われた結果、正しいサイトにアクセスできるようになったと考えることができます。

設問2

Cさんが取りまとめた調査結果の概略について,(1),(2)に答えよ。
  • 本文中のaに入れる適切な字句を図中から選び,その名称を答えよ。
  • 本文中のbに入れる適切な字句を解答群の中から選び,記号で答えよ。
b に関する解答群
  • DNSSEC
  • IPSEC
  • PKI
  • SSH
  • SSL

-解答入力欄-

    • a:
    • b:

-解答例・解答の要点-

    • a:DNSサーバ D3
    • b:

-解説-

  • aについて〕
    DNSキャッシュが攻撃に悪用されたため、それを保存しているDNSサーバのいずれかが空欄に入ると推測できます。
    ネットワークには、ISPとM社あわせて5台のDNSサーバがありますが、福岡営業所での障害発生時の状況から攻撃を受けたDNSサーバを特定できます。

    福岡営業所で発生したという状況を考えると、まず先にDNSサーバD3が思い当たります。障害発生時、同じくISP Yが管理するDNSサーバYを経由している大阪営業所からのアクセスは正常であったので、DNSサーバD2およびISP Yが管理するDNSサーバYには問題がなかったと判断できます。よって攻撃を受けたのは、福岡営業所のDNSサーバD3と断定できます。
    • 正しい。DNSSEC(DNS Security Extensions)は、DNSにおける応答の正当性を保証するための拡張仕様です。DNSSECはドメイン登録情報にディジタル署名を付加することで、正当な管理者によって生成された応答レコードであること、また応答レコードが改ざんされていないことを保証する技術です。
    • IPsec(Security Architecture for Internet Protocol)は、OSI基本参照のネットワーク層で動作しIPパケット単位でデータの改ざん防止や暗号化機能を提供するプロトコルです。
    • PKI(Public Key Infrastructure,公開鍵暗号基盤)は、公開鍵が真の所有者のものであるかを第三者機関であるCA(Certification Authority,認証局)が審査し、申請者の公開鍵に対してディジタル証明書を発行することで保証を実現するための仕組みです。
    • SSH(Secure SHell)は、主にUNIXコンピュータで利用される、ネットワークを介して別のコンピュータにログインしたり、遠隔地のマシンでコマンドを実行したり、他のマシンへファイルを移動したりするためプログラムのことです。
    • SSL(Secure Socket Layer)は、インターネット上で情報を暗号化して送受信するプロトコルです。

設問3

本文中のcdに入れる適切な字句を解答群の中から選び,記号で答えよ。
c,d に関する解答群
  • DNSサーバXに問題があったこと
  • DNSサーバYに問題があったこと
  • 大阪営業所のPCに問題があったこと
  • 東京本社の各サーバに問題がなかったこと
  • 福岡営業所のDNSサーバD3に問題があったこと
  • 福岡営業所のPCに問題があったこと

-解答入力欄-

  • c:
  • d:

-解答例・解答の要点-

  • c:
  • d:

-解説-

M社全体に知らせる内容として正しい内容を、障害発生時の状況から考えて選択肢の中から2つ選びます。
  • 東京本社から、正常にアクセスできたのでDNSサーバXには問題がなかったと考えられます。
  • 大阪営業所から、正常にアクセスできたのでDNSサーバYには問題がなかったと考えられます。
  • 大阪営業所では、問題が発生していないため大阪営業所のPCには問題がなかったと考えられます。
  • 正しい。要求したWebページと違うページが表示された場合、まず先にWebサイトの改ざんが疑われます。しかし今回のケースの原因は福岡営業所のDNSサーバ3にあり、東京本社で管理しているWebサーバ(W1、W2)やPCなどの機器には問題はありません。
  • 正しい。DNSサーバ3のキャッシュが偽装されたことで今回の障害が発生しました。
  • 福岡営業所では問題が発生しましたが、その原因はPCが汚染されたことでなくDNSサーバ3のキャッシュが偽装されたことです。

設問4

本文中のegに入れる適切な字句を答えよ。

-解答入力欄-

  • e:
  • f:
  • g:

-解答例・解答の要点-

  • e:インターネットVPN 又は VPN
  • f:IPアドレス体系 又は IPアドレス 又は ネットワークアドレス
  • g:社外 又は 外部

-解説-

eについて〕
企業内ネットワークなどのイントラネットをインターネットを使って結ぶ技術と言えば、インターネットVPNです。VPNは、Virtual Private Networkは、仮想専用線と訳されインターネットを専用線のように使う技術のことです。

fについて〕
ネットワークの構築においてPCに割り当てる、重複があると問題が生じるとくれば、IPアドレスしかありませんね。プライベートIPアドレスやローカルIPアドレスなどでも正解といっていいと思います。

gについて〕
今回のような攻撃を未然に防ぐため、DNSキャッシュサーバへのアクセスを制限する対象として、社外からのアクセスや外部からのアクセスが挙げられます。私はインターネットと解答しましたが、VPNがインターネットを使って構築され、インターネットからのアクセスには大阪営業所や福岡営業所などの社内アクセスも含まれるため適切ではないようです。

※DNSキャッシュポイズニングについては、インターネット10分講座:DNSキャッシュポイズニング(http://www.nic.ad.jp/ja/newsletter/No40/0800.html)にて簡潔に説明がなされていますので参考にしてみてください。
問9成績
【22年春期 午後問題】
 問1 問2 問3 問4 問5 問6 問7 問8 問9 問10 問11 問12
© 2010-2019 応用情報技術者試験ドットコム All Rights Reserved.

Pagetop