いろいろあるけど、やれることをやるしかないっしょ!
情報安全確保支援士試験の平成31年春 午前2問
題(全25問)を解いていきます。問題の解き方や
考え方をわかりやすく、解説してみる連載です。
※問題の引用についてはIPAのルールを遵守しています。
問10
クロスサイトリクエストフォージェリ攻撃の対策として、効果がない
ものはどれか。
ア Webサイトでの決済などの重要な操作の都度、利用者のパスワ
ードを入力させる。
イ Webサイトへのログイン後、毎回異なる値をHTTPレスポン
スに含め、Webブラウザからのリクエストごとに送付されるそ
の値を、Webサーバ側で照合する。
ウ Webブラウザからのリクエスト中のRefererによって正
しいリンク元からの遷移であることを確認する。
エ WebブラウザからのリクエストをWebサーバで受け付けた際
に、リクエストに含まれる”<”や”>”などの特殊文字を、タグと
して認識されない”<”や”>” などの文字列に置き換
える。
問11
DNSキャッシュポイズニング攻撃に対して有効な対策はどれか。
ア DNSサーバにおいて、侵入したマルウェアをリアルタイムに隔
離する。
イ DNS問合せに使用するDNSヘッダ内のIDを固定せずにラン
ダムに変更する。
ウ DNS問合せに使用する送信元ポート番号を53番に固定する。
エ 外部からのDNS問合せに対しては、宛先ポート番号53のもの
だけに応答する。
問12
VLAN機能をもった1台のレイヤ3スイッチに複数のPCを接続し
ている。スイッチのポートをグループ化して複数のセグメントに分け
ると、スイッチのポートをセグメントを分けない場合に比べて、どの
ようなセキュリティ上の効果が得られるか。
ア スイッチが、PCから送出されるICMPパケットを全て遮断す
るので、PC間のマルウェア感染のリスクを低減できる。
イ スイッチが、PCからのブロードキャストパケットの到達範囲を
制限するので、アドレス情報の不要な流出のリスクを低減できる。
ウ スイッチが、PCのMACアドレスから接続可否を判別するので、
PCの不正接続のリスクを低減できる。
エ スイッチが、物理ポートごとに、決まったIPアドレスをもつP
Cの接続だけを許可するので、PCの不正接続のリスクを低減で
きる。
(解答と解説)
問10
クロスサイトリクエストフォージェリはクライアントとサーバの信頼
関係を利用して、自分の代わりにいろいろなことをやらせてしまうと
いう攻撃です。
エ WebブラウザからのリクエストをWebサーバで受け付けた際
に、リクエストに含まれる”<”や”>”などの特殊文字を、タグと
して認識されない”<”や”>” などの文字列に置き換
える。
これはXSS対策なので、効果がありません。
問11
DNSキャッシュポイズニング攻撃は不正なDNSレコードをDNS
に仕込んで、別のサイトに誘導する攻撃です。
イ DNS問合せに使用するDNSヘッダ内のIDを固定せずにラン
ダムに変更する。
マルウエアは関係ないですし、ポートは固定しちゃうと攻撃しやすく
なります。どの問い合わせかを照合するときに、IDを固定にするより
問い合わせごとにランダムにしたほうが、安全性が高くなります。
問12
ア スイッチが、PCから送出されるICMPパケットを全て遮断す
るので、PC間のマルウェア感染のリスクを低減できる。
ICMPはIP層なので、遮断できません。
イ スイッチが、PCからのブロードキャストパケットの到達範囲を
制限するので、アドレス情報の不要な流出のリスクを低減できる。
これが正解です。
ウ スイッチが、PCのMACアドレスから接続可否を判別するので、
PCの不正接続のリスクを低減できる。
アドレスVLANならそうですけど。
エ スイッチが、物理ポートごとに、決まったIPアドレスをもつP
Cの接続だけを許可するので、PCの不正接続のリスクを低減で
きる。
IPアドレスではなく、MACアドレスですね。