問題
問56
インターネットにおいてドメイン名とIPアドレスの対応付けを行うサービスを提供しているサーバに保管されている管理情報を書き換えることによって、利用者を偽のサイトへ誘導する攻撃はどれか。
- DDoS攻撃
- DNSキャッシュポイズニング
- SQLインジェクション
- フィッシング
[出典:ITパスポート試験 令和3年度 問56]
スポンサーリンク
正解
正解は「イ」です。
解説
正解は「イ」のDNSキャッシュポイズニングです。DNSキャッシュポイズニングとは、DNSサーバに保存されているドメイン名とIPアドレスの対応情報を不正に書き換える攻撃です。これにより、ユーザーが正しいドメイン名を入力しても、偽のサイトに誘導されることがあります。例えば、銀行のウェブサイトにアクセスしようとした際に、攻撃者が設定した偽のサイトに誘導され、個人情報を盗まれる可能性があります。この攻撃は、インターネットの信頼性を損なう重大なセキュリティリスクです。
ア(DDoS攻撃):
DDoS攻撃は、複数のコンピュータから大量のリクエストを送信し、ターゲットのサーバを過負荷状態にしてサービスを停止させる攻撃です。DNSキャッシュポイズニングとは異なり、偽のサイトへの誘導は行いません。
ウ(SQLインジェクション):
SQLインジェクションは、ウェブアプリケーションのデータベースに対して不正なSQLコードを挿入し、データを盗んだり改ざんしたりする攻撃です。DNSキャッシュポイズニングとは異なり、ドメイン名とIPアドレスの対応情報を書き換えることはありません。
エ(フィッシング):
フィッシングは、偽のウェブサイトやメールを使ってユーザーの個人情報を盗む詐欺行為です。DNSキャッシュポイズニングとは異なり、DNSサーバの情報を書き換えることはありません。
難易度
普通
この問題は、基本的なセキュリティ知識を問うものであり、ITパスポート試験の受験者にとっては一般的な難易度です。DNSキャッシュポイズニングの概念を理解していれば、正解を選ぶことができます。
スポンサーリンク
用語補足
DNSキャッシュポイズニング:
DNSサーバに保存されているドメイン名とIPアドレスの対応情報を不正に書き換える攻撃です。これにより、ユーザーが正しいドメイン名を入力しても偽のサイトに誘導されることがあります。
フィッシング:
偽のウェブサイトやメールを使ってユーザーの個人情報を盗む詐欺行為です。ユーザーが信頼するサイトやサービスを装って情報を取得しようとします。
対策
この問題を解くためには、DNSキャッシュポイズニングの概念を理解し、他の攻撃手法との違いを整理することが重要です。特に、フィッシングやSQLインジェクションとの違いを押さえ、DNSのセキュリティ対策を学ぶことで、試験でも適切な選択がしやすくなります。
