基本情報&応用情報 問題と解説

アクセスカウンタ

zoom RSS H22_haru_AP_PM Q09 Qus.

<<   作成日時 : 2011/02/06 11:47   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

平成22年 春期 応用情報技術者 午後 問9

問9 DNSサーバのセキュリティ対策に関する次の記述を読んで、設問1〜4に答えよ。

M社は、ある製品の開発、販売を手掛ける企業であり、東京本社のほかに、大阪と福岡に営業所を持っている。
自社のホームページは東京本社に設置したWebサーバ W1 で運営しており、
自社製品のショッピングサイトは同じく東京本社に設置した別のWebサーバ W2 を使っている。
M社のWebサーバW1、W2のホスト名の情報は、東京本社に設置したDNSサーバD1で管理している。
東京本社はインターネットサービスプロバイダ(以下、ISPという)Xと、大阪営業所及び福岡営業所はISP Y と契約してインターネットに接続している。
M社のネットワーク構成を図に示す。
また、M社のPCに設定されているDNSサーバの情報を表に示す。
画像

あるとき、掲載されている商品を確認するためにM社のショッピングサイトに
アクセスしていた福岡営業所の社員Aさんから、
@「ホームページのリンクをクリックしてショッピングサイトにアクセスしようとしたところ、
いつも表示されるショッピングサイトとは違うサイトが表示された。」

という報告が東京本社に入った。
M社のネットワーク管理者Bさんが、東京本社と大阪営業所に在籍する社員に指示し、各自のPCから、
Aさんの報告と同様の手順でショッピングサイトにアクセスさせてみたところ、
Aさんの報告のような状態にはならなかった。
そこで、原因究明のためにセキュリティ対策会社であるN社に調査と対策の検討を依頼した。
しばらくした後、Aさんから、
A「再度同様の手順でアクセスしたところ、今度は正しいショッピングサイトが表示された。」という報告が入った。
調査を開始したN社の担当者Cさんは、東京本社に設置されている
WebサーバW1、W2及びDNSサーバD1に改ざんの跡がないかを確認したが、
コンテンツの異常や不正アクセスを示す証跡は発見されなかった。
大阪営業所及び福岡営業所に設置されているPCのウィルスチェック結果や
DNSサーバD2とD3の状態も確認したが、異常は発見されなかった。
さらに、ISP X 及び ISP Y にインシデントの発生状況について
問い合わせたが、当該期間での発生はないとの回答を受けた。
調査結果から、Cさんは”DNSキャッシュポイズニング”が今回の現象の原因だろうと判断した。
Cさんが取りまとめた調査結果の概略は、次のとおりである。

[調査結果の概略]
福岡営業所で発生した現象は、DNSキャッシュポイズニングが原因だと推定される。
具体的には、 a のDNSキャッシュに偽りの情報が一時的に埋め込まれていたので、
Aさんからの報告の現象が発生した。
DNSキャッシュポイズニングの攻撃手法は各種あるが、
今回のものは2008年に公表されたカミンスキー・アタックである可能性が考えられる。
a のDNSソフトウェアのバージョンが古いので、
早急にカミンスキー・アタック対策を施した最新版を導入するべきである。
DNSキャッシュポイズニングへの根本的な対応策としては、
DNSサーバからの応答に公開鍵暗号方式で署名する b の導入が望まれるが、
利用可能になるまでしばらく時間が必要である。
現時点では、東京本社、大阪営業所、福岡営業所のPCが参照する
DNSサーバに偽りの情報が埋め込まれる可能性を低減する工夫をするべきである。
次は、調査完了後のBさんとCさんの会話である。

[調査完了後の会話]
C:今回の福岡営業所で発生した現象は、DNSキャッシュポイズニングが原因だったと思われます。
DNSキャッシュポイズニングについては御存じですか。
B:名前は聞いたことがありますが、実際に発生したのを見たのは初めてです。
C:今後の対応策ですが、まずは今回の現象の内容について、M社全体に知らせた方がよいでしょう。
B:どのような内容を知らせたらよいでしょうか。
C:第一報として、起こった事実を正確に伝えることが大切ですね。
   c と、 d の2点は、必ず含めるようにしてください。
DNSキャッシュポイズニングについては、別途時間を設けて、
社員へのセキュリティ教育の一環で解説するのがよいと思います。
B:分かりました。
文案を考えて、社内のポータルサイトなどで知らせるように手配します。
ところで、福岡営業所のPCのDNS設定はどうしたらよいでしょうか。
ISP Y のDNSサーバYに変更すればよいですか。
C:それよりも、大阪営業所と福岡営業所のPCに設定するDNSサーバを、
東京本社に設置されているDNSサーバD1に変更したらどうでしょう。
B:全社のPCが同じDNSサーバを利用することで、
管理対象のDNSサーバを一元化するわけですね。
そうすると、ネットワーク全体の運用管理も単純化できます。
C:イントラネット間は、現在使っているインターネット接続を結ぶのが経済的ですね。
東京本社と大阪営業所、福岡営業所の間を、 e で結ぶわけです。
B:そうするには、東京本社と大阪営業所、福岡営業所が一つのネットワークになるので、
PCに割り当てる f に重複がないか調査する必要がありますね。
早速調べてみることにします。
C:DNSサーバD1は、現在DNSコンテンツサーバの機能
(Webサーバなどの情報をインターネットに提供する機能)と
DNSキャッシュサーバの機能(社内のPCなどからの問合せを中継する機能)を提供しています。
DNSキャッシュサーバへの g からのアクセスを制限するために、
DNSコンテンツサーバとDNSキャッシュサーバの機能を分離した方がよいですね。
B:その場合、DNSキャッシュサーバはネットワークのどこに配置すべきでしょうか。
C:今のDNSサーバD1と同じDMZに置くことも可能ですが、
できればPCなどが置かれているイントラネットがよいでしょう。
東京本社のPCと同様のセキュリティポリシによって、
ファイアウォールで保護するのが適切だと思います。

設問 1
本文中の下線@、Aの現象について、(1)、(2)に答えよ。
(1)@のようにして、目的とは異なるWebサイトに誘導されて、
その結果個人情報などを盗まれてしまう脅威の名称を解答群の中から選び、記号で答えよ。

解答群
ア 改ざん
イ ソーシャルエンジニアリング
ウ 盗聴
エ フィッシング
オ 不正侵入

(2)@の状態からAの状態に変化した理由を、20字以内で述べよ。

設問 2
Cさんが取りまとめた調査結果の概略について、(1)、(2)に答えよ。
(1)本文中の a に入れる適切な字句を図中から選び、その名称を答えよ。
(2)本文中の b に入れる適切な字句を解答群の中から選び、記号で答えよ。

解答群
ア DNSSEC
イ IPSEC
ウ PKI
エ SSH
オ SSL

設問 3
本文中の c , d に入れる適切な字句を解答群の中から選び、記号で答えよ。

解答群
ア DNSサーバ X に問題があったこと
イ DNSサーバ Y に問題があったこと
ウ 大阪営業所のPCに問題があったこと
エ 東京本社の各サーバに問題がなかったこと
オ 福岡営業所のDNSサーバ D3 に問題があったこと
カ 福岡営業所のPCに問題があったこと

設問 4
本文中の c 〜 d に入れる適切な字句を答えよ。

解答例・解答の要点

テーマ

注目テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
H22_haru_AP_PM Q09 Qus. 基本情報&応用情報 問題と解説/BIGLOBEウェブリブログ
文字サイズ:       閉じる