にしのクエスト2

情報処理技術者試験と資格学校講師の日常

20240615101703

まいにちSC 平成31年春午前2問題解説 問10 問11 問12

いろいろあるけど、やれることをやるしかないっしょ!

f:id:koharuwest:20200313225552p:plain

情報安全確保支援士試験の平成31年春 午前2問
題(全25問)を解いていきます。問題の解き
方や
考え方をわかりやすく、解説してみる連載です。

※問題の引用についてはIPAのルールを遵守しています。

問10
クロスサイトリクエストフォージェリ攻撃の対策として、効果がない
ものはどれか。

ア Webサイトでの決済などの重要な操作の都度、利用者のパスワ
  ードを入力させる。
イ Webサイトへのログイン後、毎回異なる値をHTTPレスポン
  スに含め、Webブラウザからのリクエストごとに送付されるそ
  の値を、Webサーバ側で照合する。
ウ Webブラウザからのリクエスト中のRefererによって正
  しいリンク元からの遷移であることを確認する。
エ WebブラウザからのリクエストをWebサーバで受け付けた際
  に、リクエストに含まれる”<”や”>”などの特殊文字を、タグと
  して認識されない”<”や”>” などの文字列に置き換
  える。


問11
DNSキャッシュポイズニング攻撃に対して有効な対策はどれか。


ア DNSサーバにおいて、侵入したマルウェアをリアルタイムに隔
  離する。
イ DNS問合せに使用するDNSヘッダ内のIDを固定せずにラン
  ダムに変更する。
ウ DNS問合せに使用する送信元ポート番号を53番に固定する。
エ 外部からのDNS問合せに対しては、宛先ポート番号53のもの
  だけに応答する。


問12
VLAN機能をもった1台のレイヤ3スイッチに複数のPCを接続し
ている。スイッチのポートをグループ化して複数のセグメントに分け
ると、スイッチのポートをセグメントを分けない場合に比べて、どの
ようなセキュリティ上の効果が得られるか。


ア スイッチが、PCから送出されるICMPパケットを全て遮断す
  るので、PC間のマルウェア感染のリスクを低減できる。
イ スイッチが、PCからのブロードキャストパケットの到達範囲を
  制限するので、アドレス情報の不要な流出のリスクを低減できる。
ウ スイッチが、PCのMACアドレスから接続可否を判別するので、
  PCの不正接続のリスクを低減できる。
エ スイッチが、物理ポートごとに、決まったIPアドレスをもつP
  Cの接続だけを許可するので、PCの不正接続のリスクを低減で
  きる。

 

(解答と解説)

 

問10
クロスサイトリクエストフォージェリはクライアントとサーバの信頼
関係を利用して、自分の代わりにいろいろなことをやらせてしまうと
いう攻撃です。


エ WebブラウザからのリクエストをWebサーバで受け付けた際
  に、リクエストに含まれる”<”や”>”などの特殊文字を、タグと
  して認識されない”<”や”>” などの文字列に置き換
  える。

これはXSS対策なので、効果がありません。


問11
DNSキャッシュポイズニング攻撃は不正なDNSレコードをDNS
に仕込んで、別のサイトに誘導する攻撃です。


イ DNS問合せに使用するDNSヘッダ内のIDを固定せずにラン
  ダムに変更する。

マルウエアは関係ないですし、ポートは固定しちゃうと攻撃しやすく
なります。どの問い合わせかを照合するときに、IDを固定にするより
問い合わせごとにランダムにしたほうが、安全性が高くなります。

問12
ア スイッチが、PCから送出されるICMPパケットを全て遮断す
  るので、PC間のマルウェア感染のリスクを低減できる。

ICMPはIP層なので、遮断できません。

イ スイッチが、PCからのブロードキャストパケットの到達範囲を
  制限するので、アドレス情報の不要な流出のリスクを低減できる。

これが正解です。

ウ スイッチが、PCのMACアドレスから接続可否を判別するので、
  PCの不正接続のリスクを低減できる。

アドレスVLANならそうですけど。

エ スイッチが、物理ポートごとに、決まったIPアドレスをもつP
  Cの接続だけを許可するので、PCの不正接続のリスクを低減で
  きる。

IPアドレスではなく、MACアドレスですね。