ITパスポート 令和6年度 問100：securityに関する問題

答えは b「DNSキャッシュポイズニング」 です。

ネットの世界では、「example.com」のような名前を、コンピュータがわかる住所（IPアドレス）に変換してくれる“電話帳”のような仕組みがあります。これをDNSといいます。

攻撃者がこの電話帳にウソの番号を書き込むと、正しい名前を打ち込んでも、にせ物のサイトへ案内されてしまいます。電話帳が汚染（ポイズニング）された状態です。

👉 覚え方：DNS（ネットの電話帳）にウソを書き込む＝ポイズニング（毒入れ）。

ほかの選択肢：a DDoS＝大量アクセスでパンクさせる／c ソーシャルエンジニアリング＝人をだまして情報を聞き出す／d ドライブバイダウンロード＝サイトを見ただけでウイルスを仕込まれる。

なぜこれが正解か

正解は b。DNSはドメイン名（example.com）とIPアドレスの対応付けを管理する仕組み。DNSキャッシュポイズニングは、DNSサーバが一時的に保持する対応情報（キャッシュ）に攻撃者が偽の対応を注入する攻撃。利用者が正しいURLを入力しても、偽のIPアドレスへ誘導され、偽装サイト（フィッシングサイト）に接続させられる。問題文の『ドメイン名とIPアドレスの対応情報が書き換えられた』がまさにこれにあたる。

各選択肢の解説

• a DDoS攻撃：多数の機器から大量の通信を送りつけ、サービスを停止させる攻撃。情報の書き換えではない。
• c ソーシャルエンジニアリング：技術ではなく人の心理や行動の隙を突いて情報を盗む手口。
• d ドライブバイダウンロード：Webサイト閲覧だけでマルウェアを自動的にダウンロード・感染させる攻撃。

覚え方・ひっかけ注意

『ドメイン名⇔IPアドレスの対応＝DNS』『その対応を毒入れ＝ポイズニング』とキーワードで直結させる。同じく偽サイトへ誘導するフィッシングやファーミングとの区別がポイントで、本問のように『DNSサーバの脆弱性で対応情報が改ざん』とあればキャッシュポイズニングと判断する。

理論的背景

DNSキャッシュポイズニング（DNS Cache Poisoning）はDNSインフラを標的とした攻撃で、正規のドメイン名に対するIPアドレスの対応情報をキャッシュDNSサーバに不正に書き込む（「毒を盛る」）ことで、正規URLを入力したユーザーを攻撃者が制御する偽サイトへ誘導する。攻撃の技術的メカニズム：DNSの問い合わせ・応答はUDP（トランザクションIDで識別）を使用するため、攻撃者が正規のDNSサーバより先に偽の応答（ランダムなトランザクションIDとソースポートを推測または総当たり）を送りつけることでキャッシュへの毒入れが成功する。Dan Kaminskyが2008年に公表したDNS脆弱性（「カミンスキー攻撃」）はソースポートのランダム化不足を悪用した大規模ポイズニングの脅威を明らかにし、緊急パッチの適用と業界全体での修正を促した。根本的対策としてDNSSEC（DNS Security Extensions）が開発され、DNSゾーンデータにデジタル署名を付与することで応答の完全性を検証できるようになった。

実務での使われ方

DNSキャッシュポイズニングは金融機関・ECサイト・行政サービスに対するフィッシング攻撃の高度化手段として悪用される。ユーザーが正規のURLを入力しても偽サイトへ誘導されるため、「URLを確認する」という一般的なフィッシング対策が効かない点が危険性を高めている。対策の多層化：①DNSSEC導入によるゾーン署名（応答の完全性保証）、②ソースポートランダム化（0x8000〜0xFFFFの16ビット以上のランダム化）、③DNSクエリのTCP使用（UDPより偽装困難）、④Resolver側でのキャッシュ検証・有効期限管理。Microsoft Azure DNS・Cloudflare・Google Public DNS（8.8.8.8）はDNSSECおよびDNS over HTTPS（DoH）・DNS over TLS（DoT）をサポートし、通信の暗号化でMITM（中間者攻撃）と傍受を防ぐ。企業では内部DNSサーバとパブリックDNSリゾルバの分離（Split-horizon DNS）で攻撃対象を限定する設計が推奨される。

試験での位置づけ

DNSキャッシュポイズニングはITパスポートのセキュリティ（DNS攻撃・フィッシング対策）で出題頻度が高まっているテーマ。本問のように「症状（偽サイトへ誘導）→原因（DNSサーバの情報書き換え）→攻撃名」という逆引き識別形式は、攻撃の仕組みを深く理解していないと選択肢の中から正確に識別できない。DDoS攻撃・ソーシャルエンジニアリング・ドライブバイダウンロードとの明確な区別が必要。近年の出題傾向では、DNSキャッシュポイズニングとDNSハイジャッキング（DNSサーバ設定の直接改ざん）・ドメインハイジャッキング（レジストラへの不正アクセスによるドメイン権限奪取）の違いまで問われるケースがある。基本情報技術者（FE）ではDNSSECの仕組み（デジタル署名によるDNSゾーン認証）・DMARC/DKIM/SPFとの関連・DoH/DoTの実装まで問われる。

選択肢の発展補足

選択肢aのDDoS攻撃（Distributed Denial of Service：分散型サービス拒否攻撃）は多数のボット（感染PC・IoTデバイス等のゾンビ端末）から大量のリクエストを同時送信してサービスを過負荷・停止させる攻撃。DNSサーバへのDDoS攻撃（DNS Flood）は別途存在するが、本問の「情報書き換え」「偽サイトへ誘導」はDDoSではなくDNSキャッシュポイズニングの特徴。選択肢cのソーシャルエンジニアリングは人間の心理・行動を悪用した情報搾取（電話での詐欺・なりすましメール等）であり、技術的な脆弱性ではなく「人」を攻撃対象とする点が根本的に異なる。選択肢dのドライブバイダウンロード（Drive-by Download）は悪意あるWebサイト訪問だけでマルウェアが自動インストールされる攻撃で、ブラウザ・プラグイン（Flash・Java等）の脆弱性を悪用する。偽サイトへ「誘導する」ための攻撃（ポイズニング）と「誘導先で感染させる」攻撃（ドライブバイ）は攻撃の目的が異なる。発展として、BGPハイジャッキング（Border Gateway Protocol乗っ取りによるIPルートの不正書き換え）はDNSキャッシュポイズニングとはレイヤーが異なる（Layer3 vs. アプリケーション層）が、「正規接続先とは別の宛先へ誘導する」という悪用目的は共通しており、重要インフラ攻撃の手口として上位試験での出題が増加している。