DNSのセキュリティ対策に関する次の記述を読んで,設問1〜3に答えよ。
R社は,Webサイト向けソフトウェアの開発を主業務とする,従業員約50名の企業である。R社の会社概要や事業内容などをR社のWebサイト(以下,R社サイトという)に掲示している。
R社内からインターネットへのアクセスは,R社が使用するデータセンタを経由して行われている。データセンタのDMZには,R社のWebサーバ,権威DNSサーバ,キャッシュDNSサーバなどが設置されている。DMZは,ファイアウォール(以下,FWという)を介して,インターネットとR社社内LANの両方に接続している。データセンタ内のR社のネットワーク構成の一部を図1に示す。
図1 データセンタ内のR社のネットワーク構成(一部)
R社サイトは,データセンタ内のWebサーバで運用され,インターネットからR社サイトへは,HTTP Over TLS(以下,HTTPSという)によるアクセスだけが許されている。
〔インシデントの発生〕
ある日,R社の顧客であるY社の担当者から,“社員のPCが,R社サイトに埋め込まれていたリンクからマルウェアに感染したと思われる”との連絡を受けた。Y社は,Y社が契約しているISPであるZ社のDNSサーバを利用していた。
R社情報システム部のS部長は,部員のTさんに,R社のネットワークのインターネット接続を一時的に切断し,マルウェア感染の状況について調査するように指示した。Tさんが調査した結果,R社の権威DNSサーバ上の,R社のWebサーバのAレコードが別のサイトのIPアドレスに改ざんされていることが分かった。R社のキャッシュDNSサーバとWebサーバには,侵入や改ざんされた形跡はなかった。
Tさんから報告を受けたS部長は,①Y社のPCがR社の偽サイトに誘導され,マルウェアに感染した可能性が高いと判断した。
〔当該インシデントの原因調査〕
S部長は,当該インシデントの原因調査のために,R社の権威DNSサーバ,キャッシュDNSサーバ及びWebサーバの脆弱性診断及びログ解析を実施するよう,Tさんに指示した。Tさんは外部のセキュリティ会社の協力を受けて,脆弱性診断とログ解析を実施した。診断結果の一部を表1に示す。
診断対象 | 脆弱性診断結果 | ログ解析結果 |
権威DNSサーバ |
・OSは最新であったが,DNSソフトウェアのバージョンが古く, a を奪取されるおそれがあった。 ・インターネットから権威DNSサーバへのアクセスはDNSプロトコルだけに制限されていた。 |
業務時間外にログインされた形跡が残っていた。 |
キャッシュDNSサーバ |
・OS及びDNSソフトウェアは最新であった。 ・インターネットからキャッシュDNSサーバへのアクセスはDNSプロトコルだけに制限されていた。 |
不審なアクセスの形跡は確認されなかった。 |
Webサーバ |
・OS及びWebサーバのソフトウェアは最新であった。 ・インターネットからWebサーバへのアクセスはHTTPSだけに制限されていた。 |
Y社のPCがマルウェア感染した時期に②R社サイトへのアクセスがほとんどなかった。 |
診断結果を確認したS部長は,R社の権威DNSサーバのDNSソフトウェアの脆弱性を悪用した攻撃によって, a が奪取された可能性が高いと考え,早急にその脆弱性への対応を行うようにTさんに指示した。
Tさんは,R社の権威DNSサーバのDNSソフトウェアの脆弱性は,ソフトウェアベンダが提供する最新版のソフトウェアで対応可能であることを確認し,当該ソフトウェアをアップデートしたことをS部長に報告した。S部長はTさんに,R社の権威DNSサーバ上のR社のWebサーバのAレコードを正しいIPアドレスに戻し,R社のネットワークのインターネット接続を再開させたが,Y社のPCからR社サイトに正しくアクセスできるようになるまで,③しばらく時間が掛かった。R社は,Y社に謝罪するとともに,当該インシデントについて経緯などをとりまとめて,R社サイトなどを通じて,顧客を含む関係者に周知した。
〔セキュリティ対策の検討〕
S部長は,R社の権威DNSサーバに対する④同様なインシデントの再発防止に有効な対策と,R社のキャッシュDNSサーバ及びWebサーバに対するセキュリティ対策の強化を検討するように,Tさんに指示した。
Tさんは,R社のWebサーバが使用しているディジタル証明書が,ドメイン名の所有者であることが確認できるDV(Domain Validation)証明書であることが問題と考えた。そこでTさんは,EV(Extended Validation)証明書を導入することを提案した。R社のWebサーバにEV証明書を導入し,WebブラウザでR社サイトにHTTPSでアクセスすると,R社の b を確認できる。
またTさんは,⑤R社のキャッシュDNSサーバがインターネットから問合せ可能であることも問題だと考えた。その対策として,FWの設定を修正してR社社内LANからだけ問合せ可能とすることを提案した。また,R社のキャッシュDNSサーバに,偽のDNS応答がキャッシュされ,R社の社内LAN上のPCがインターネット上の偽サイトに誘導されてしまう, c の脅威があると考えた。DNSソフトウェアの最新版を確認したところ,ソースポートのランダム化などに対応していることから,この脅威については対応済みとして報告した。
出典:令和3年度春期 問1
設問1 本文中の下線①で,Y社のPCがR社の偽サイトに誘導された際に,Y社のPCに偽のIPアドレスを返した可能性のあるDNSサーバを,解答群の中から全て選び,記号で答えよ。
- DNSルートサーバ
- R社のキャッシュDNSサーバ
- R社の権威DNSサーバ
- Z社のDNSサーバ
解答・解説
解答例
ウ,エ
解説
- DNSルートサーバ
DNSルートサーバは、下位のDNSサーバの情報を返すものであり、特定のサイトへのIPアドレスを返すものではありませんので、Y社のPCに偽のIPアドレスを返したDNSサーバではありません。 - R社のキャッシュDNSサーバ
「R社のキャッシュDNSサーバとWebサーバには,侵入や改ざんされた形跡はなかった。」と明記されていますので、Y社のPCに偽のIPアドレスを返したとは考えづらいです。 - R社の権威DNSサーバ
「R社の権威DNSサーバ上の,R社のWebサーバのAレコードが別のサイトのIPアドレスに改ざんされていることが分かった。」と明記されていますので、R社の権威DNSサーバがY社のPCに偽のIPアドレスを返した可能性があります。 - Z社のDNSサーバ
Y社内からインターネットへのアクセスは、まず「Y社が契約しているISPであるZ社のDNSサーバ」を参照しますので、Z社のDNSサーバがY社のPCに偽のIPアドレスを返した可能性があります。
設問2 〔当該インシデントの原因調査〕について,(1)〜(3)に答えよ。
(1)表1及び本文中の a に入れる適切な字句を,解答群の中から選び,記号で答えよ。
- 管理者権限
- シリアル番号
- ディジタル証明書
- 利用者パスワード
解答・解説
解答例
ア
解説
表1の権威DNSサーバの行に、脆弱性診断結果「・OSは最新であったが,DNSソフトウェアのバージョンが古く, a を奪取されるおそれがあった。」、ログ解析結果「業務時間外にログインされた形跡が残っていた。」とあります。
これらから、強い権限を奪取されたと推測できます。選択肢の中で適切なものは、ア.管理者権限です。
(2)表1中の下線②で,R社サイトへのアクセスがほとんどなかった理由を20字以内で述べよ。
解答・解説
解答例
顧客がR社の偽サイトに誘導されたから
解説
「Y社のPCがR社の偽サイトに誘導され,マルウェアに感染した可能性が高いと判断した。」と疑われる状況で、「R社サイトへのアクセスがほとんどなかった」というログ解析結果は、それを裏付けるものと言えます。
したがって、偽サイトに誘導されたことが理由と考えられます。
(3)本文中の下線③で,Y社のPCが正しいR社サイトにアクセスできるようになるまで,しばらく時間が掛かった理由は,どのDNSサーバにキャッシュが残っていたからか,解答群の中から選び,記号で答えよ。
- DNSルートサーバ
- R社のキャッシュDNSサーバ
- R社の権威DNSサーバ
- Z社のDNSサーバ
解答・解説
解答例
エ
解説
DNSサーバは、アクセス速度向上のため、一度問い合わせたドメイン情報を一定期間保存するのが一般的です(この時間をTTLといいます)。
設問の状況では、Z社のDNSサーバのキャッシュに偽サイトの情報が一定期間残っていたため、すぐには正しいR社サイトにアクセスできなかった、と考えられます。
設問3 〔セキュリティ対策の検討〕について,(1)〜(4)に答えよ。
(1)本文中の下線④で,同様なインシデントの再発防止に有効な対策として,R社の権威DNSサーバに実施すべきものを,解答群の中から選び,記号で答えよ。
- 逆引きDNSレコードを設定する。
- シリアル番号の桁数を増やす。
- ゾーン転送を禁止する。
- 定期的に脆弱性検査と対策を実施する。
解答・解説
解答例
エ
解説
- 逆引きDNSレコードを設定する。
逆引きDNSレコード(PTRレコード)は、Aレコードとは逆に、IPアドレスからドメイン名を調べるために使用するものですが、これを設定しても問題文のインシデントの再発防止策にはなりません。 - シリアル番号の桁数を増やす。
シリアル番号の桁数を増やしても問題文のインシデントの再発防止策にはなりません。 - ゾーン転送を禁止する。
ゾーン転送は、権威サーバー間でゾーン情報を同期するための方法ですが、これを禁止しても問題文のインシデントの再発防止策にはなりません。 - 定期的に脆弱性検査と対策を実施する。
問題文のインシデントの原因は、「DNSソフトウェアの脆弱性」であったため、再発防止策としては、定期的に脆弱性検査と対策を実施することは有効です。
(2)本文中の b に入れる適切な字句を,解答群の中から選び,記号で答えよ。
- 会社名
- 担当者の電子メールアドレス
- 担当者の電話番号
- ディジタル証明書の所有者
解答・解説
解答例
ア
解説
DV(Domain Validation)もEV(Extended Validation)もドメインを認証する証明書ですが、DVはその所有者を偽装できてしまう問題があります。
一方、EVは所有者の情報(この場合会社名)も確認できます。
(3)本文中の下線⑤で,R社のキャッシュDNSサーバがインターネットから問合せ可能な状態であることによって発生する可能性のあるサイバー攻撃を,解答群の中から選び,記号で答えよ。
- DDoS攻撃
- SQLインジェクション攻撃
- パスワードリスト攻撃
- 水飲み場攻撃
解答・解説
解答例
ア
解説
- DDoS攻撃
正しいです。インターネットからアクセス可能なため、大量のアクセスによりサービス不能にする攻撃(DDoS攻撃)が懸念されます。 - SQLインジェクション攻撃
DNSサーバに対して行われる攻撃ではありません。 - パスワードリスト攻撃
DNSサーバに対して行われる攻撃ではありません。 - 水飲み場攻撃
DNSサーバに対して行われる攻撃ではありません。
(4)本文中の c に入れるサイバー攻撃手法の名称を,15字以内で答えよ。
解答・解説
解答例
DNSキャッシュポイズニング
解説
「キャッシュDNSサーバに,偽のDNS応答がキャッシュされ,インターネット上の偽サイトに誘導する」ような攻撃手法を、DNSキャッシュポイズニングといいます。
IPA公開情報
出題趣旨
DNSは,インターネット基盤を支える重要システムであり,各組織が運用するDNSサーバもサイバー攻撃の標的とされることが多い。
本問では,自社ドメインを管理する権威DNSサーバに対して行われたサイバー攻撃の事例を題材として,具体的な技術的対策に関する知識を問う。
採点講評
問1では,自社ドメインを管理する権威DNSサーバに対して行われたサイバー攻撃の事例を題材に,情報セキュリティの具体的な技術的対策について出題した。全体として正答率は平均的であった。
設問1及び設問2(3)は,正答率が平均的であった。権威DNSサーバは情報システムにおける基盤であり,サイバー攻撃の対象となることも多い。インシデント発生時に権威DNSサーバの挙動からサイバー攻撃の原因を究明するためには,DNSの応答の仕組みを正しく把握しておくことが必要である。本問で取り上げた,権威DNSサーバの管理者権限が奪取された場合に起こり得る影響について,よく理解してほしい。
設問3(2)は,正答率が低かった。近年はDV証明書の入手が容易になってきたことから,Webサイトの信頼性を高めるためにEV証明書を用いることも多い。DV証明書と EV 証明書の違いとともに,EV 証明書によって実現できるセキュリティ対策への理解を深めてほしい。