情報処理安全確保支援士試験 令和3年度 春期 午後1 問2
【出典:情報処理安全確保支援士試験 令和3年度 春期 午後1 問2(一部、加工あり)】
問2 ネットワークのセキュリティ対策に関する次の記述を読んで、設問1、2に答えよ。
A社は、従業員500名の中規模の小売業であり、インターネットを介して消費者向けに商品を宣伝している。A社のネットワークは、同社の情報システム部(以下、情シ部という)のL部長とM主任を含む7名で運用している。A社のネットワーク構成を図1に、図1中の主な機器とその概要を表1に示す。
FWのフィルタリングルールを表2に示す。
ある日、Dソフトの脆弱性を悪用したDoS攻撃で同業他社が踏み台になったというニュースが配信された。情シ部では、脆弱性情報が公開されると、CVSSの値を参考にして自社への影響を評価し、影響が大きいケースでは、早期に脆弱性修正プログラムを適用している。今回の攻撃に使われたDソフトの脆弱性に対する修正プログラムは既に適用されていた。A社では、今回のニュースを契機に、DNSにおけるリスクと対策の検討を、M主任を中心に行うことにした。
[リスクと対策の検討]
M主任は、まず、①A社の外部DNSサーバがサービス停止になった場合の影響を確認した。次に、外部DNSサーバが攻撃を受けるリスク及び外部DNSサーバにおけるその他のリスクを調査し、外部DNSサーバが攻撃を受けるリスクについて、主なものを三つ挙げた。
一つ目のリスクは、踏み台になるリスクである。表1及び表2の構成では、攻撃者は、②送信元のIPアドレスを偽装した名前解決要求を外部DNSサーバに送ることによって、外部DNSサーバを踏み台とし、攻撃対象となる第三者のサーバに対し大量のDNSパケットを送り付けるというDoS攻撃を行える。そこで、外部DNSサーバを廃止した上で、DNS-KとDNS-FというDNSサーバをDMZ上に新設し、権威DNSサーバの機能をDNS-Kに、フルサービスリゾルバの機能をDNS-Fに移行することを考えた。これと併せて、FWのフィルタリングルールを表3のように変更することで一つ目のリスクへの対策となる。
二つ目のリスクは、DNSキャッシュポイズニング攻撃によるリソースレコードの改ざんのリスクである。DNSキャッシュポイズニング攻撃が成功すると、攻撃対象のフルサービスリゾルバが管理するリソースレコードのうち、メールサーバの(c)レコードのIPアドレスが、例えば攻撃者のメールサーバのものに書き換えられてしまい、電子メールが攻撃者のサーバに送信されてしまう。この攻撃への対策として、M主任は、三つの対策を考えた。一つ目の対策は、一つ目のリスクへの対策を流用することである。二つ目の対策は、送信元ポート番号を(d)する対策である。Dソフトでも可能である。三つ目の対策は、(e)という技術の利用である。この技術は、DNSサーバから受け取るリソースレコードに付与されたディジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証するものである。ただし、この技術は、運用として、鍵の管理など新たな作業が必要になる。
三つ目のリスクは、中間者攻撃によるDNS通信内容の盗聴、改ざんのリスクである。この対策の一つとして、DNS通信を暗号化するDNS over TLS(以下、DoTという)という技術が標準化されている。DoTは、(f)と(g)間の通信を暗号化するために開発されたものである。
これらの調査と検討を踏まえ、M主任は、外部DNSサーバが攻撃を受けるリスク、外部DNSサーバの機能を2台のDNSサーバに移行する対策案、及び送信元ポート番号を(d)する対策案をL部長に報告した。
下線①について、A社の公開Webサーバへの影響を、30字以内で述べよ。:A社公開Webサーバの名前解決ができなくなる。
「M主任は、まず、①A社の外部DNSサーバがサービス停止になった場合の影響を確認した。」
まずは外部DNSサーバと公開Webサーバのネットワーク構成上の位置を確認すると、図1(A社のネットワーク構成)からどちらもDMZ上で稼働していることが分かります。
次に、それらの機能・役割を表1(図1中の主な機器とその概要)で確認していきます。
外部DNSサーバは、「A社ドメインの権威DNSサーバ及び再帰的な名前解決を行うフルサービスリゾルバとして使用されている」、また、公開Webサーバは、「消費者向けの商品の宣伝に使用されている。」とあります。
また、注記2に「公開Webサーバ及びインターネット上のWebサーバの名前解決は、プロキシサーバが外部DNSサーバに問い合わせる設定になっている。」とあります。
これらの記述から、外部DNSサーバの公開Webサーバに対する役割としては、権威DNSサーバとしてA社公開Webサーバの名前解決を行なっていることが分かります。
したがって、外部DNSサーバがサービス停止すると、A社公開Webサーバの名前解決ができなくなってしまいます。
下線②の攻撃の名称を20字以内で答えよ。:DNSリフレクション攻撃
「表1及び表2の構成では、攻撃者は、②送信元のIPアドレスを偽装した名前解決要求を外部DNSサーバに送ることによって、外部DNSサーバを踏み台とし、攻撃対象となる第三者のサーバに対し大量のDNSパケットを送り付けるというDoS攻撃を行える。」
これは知識問題で、この攻撃の名称はDNSリフレクション攻撃またはDNSリフレクタ攻撃です。
DNSへの問合せパケットのサイズより、応答パケットのサイズが大きいためDNSアンプ攻撃という呼び方もありますが、問題文にはパケットサイズには触れていないのでDNSリフレクション攻撃が正しいということなのでしょう。
a:DNS-F、b:DNS-K
表3(変更後のFWのフィルタリングルール)は、直前の説明で「外部DNSサーバを廃止した上で、DNS-KとDNS-FというDNSサーバをDMZ上に新設し、権威DNSサーバの機能をDNS-Kに、フルサービスリゾルバの機能をDNS-Fに移行する」ことにより定義されるものです。
変更元である表2(FWのフィルタリングルール)を確認すると、項番5、6の空欄にはどちらも外部DNSサーバが定義されています。
外部DNSサーバについては、前の設問のとおり、表1(図1中の主な機器とその概要)に「A社ドメインの権威DNSサーバ及び再帰的な名前解決を行うフルサービスリゾルバとして使用されている」とあります。
これらの記述から、表2の空欄には、外部DNSサーバの機能を分けたDNS-K、DNS-Kが入ることが想定できます。
項番5のルールについては、宛先がインターネットとなるDNSの通信、つまりフルサービスリゾルバの機能ですので、空欄aは「DNS-F」となります。
そして項番6のルールについては、送信元がインターネットとなるDNSの通信、つまり権威DNSサーバの機能ですので、空欄bは「DNS-K」になります。
c(DNSのリソースレコードのタイプ名を6字以内で):A
「DNSキャッシュポイズニング攻撃が成功すると、攻撃対象のフルサービスリゾルバが管理するリソースレコードのうち、メールサーバの(c)レコードのIPアドレスが、例えば攻撃者のメールサーバのものに書き換えられてしまい、電子メールが攻撃者のサーバに送信されてしまう。」
DNSのリソースレコードのタイプ名のうち、IPアドレスとサーバの関連付けを行うものはAレコードになります。
d(15字以内):ランダム化
「二つ目の対策は、送信元ポート番号を(d)する対策である。Dソフトでも可能である。」
DNSキャッシュポイズニングへの対策で送信元ポート番号に関するものを回答する知識問題のようです。
DNSキャッシュポイズニングでは、フルサービスリゾルバの権威DNSサーバへの問合せに対し偽のDNS情報を応答しますが、このとき、攻撃者は問合せパケットの宛先IPアドレスと送信元ポート番号に一致するよう応答パケットを生成します。
そこで、問合せパケットの送信元ポート番号を固定化せずにランダム化するソースポートランダマイゼーションと呼ばれる対策があります。
e(技術の名称を英字10字以内で):DNSSEC
「三つ目の対策は、(e)という技術の利用である。この技術は、DNSサーバから受け取るリソースレコードに付与されたディジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証するものである。ただし、この技術は、運用として、鍵の管理など新たな作業が必要になる。」
問題文の説明のとおり、DNSサーバから受け取るリソースレコードに付与されたディジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証する技術は、DNSSEC(Domain Name System Security Extensions)です。
DNSSECでは、DNSサーバからの応答メッセージのハッシュ値に公開鍵暗号方式でディジタル署名を付加することで、受信メッセージからハッシュ値を算出し、復号したハッシュ値と照合することで、メッセージが改ざんされていないかを検証します。
f:スタブリゾルバ、g:フルサービスリゾルバ
「DNS通信を暗号化するDNS over TLS(以下、DoTという)という技術が標準化されている。DoTは、(f)と(g)間の通信を暗号化するために開発されたものである。」
DNS通信はスタブリゾルバとフルサービスリゾルバ間の通信であり、この通信を暗号化するのがDoTです。