問2 IPアドレス詐称対策に関する次の記述を読んで、設問1、2に答えよ。

 A社は、従業員数4,000名の科学メーカである。東京に本社、大阪に支社、国内の3か所に工場がある。A社では、電子メール(以下、メールという)の利用などのために、インターネット接続システム(以下、Xシステムという)を導入している。Xシステムは本社に設置され、B社のインターネット接続サービス(以下、B社サービスという)を利用している。また、本社、支社及び工場のLANはIP-VPNで接続されている。
 Xシステムの運用は、責任者である情報システム部のD部長の下で、E主任とFさんが担当している。Xシステムの各サーバでは、サーバへのアクセス及びプログラムの動作状況のログを記録している。
 A社のドメイン名は、B社のDNS-Bサーバで管理している。DNS-BサーバはDNSコンテンツサーバであり、リゾルバ機能(インターネット上のサーバ名の名前解決を行う機能)及びDNSキャッシュ機能(名前解決結果を一時的に保持する機能)を持たない。
 現在のA社及びB社サービスのネットワーク構成を図1に、Xシステムの主な機器と機能を表1に示す。


Xシステムの主な機器と機能

機器名称 機能
FW-A ステートフルパケットフィルタリング型FWであり、IPアドレス詐称対策機能及びパケットフィルタリング機能がある。IPアドレス詐称対策機能、パケットフィルタリング機能の順に処理する。また、通信の許可及び拒否のログを記録する機能がある。
C-DNSサーバ リゾルバ機能及びDNSキャッシュ機能がある。
プロキシサーバ プロキシ機能、Webコンテンツキャッシュ機能及びウイルススキャン機能がある。
外部メールサーバ インターネットとの間及び内部メールサーバとの間のメール転送機能、SPF(Sender Police Framework)検証機能並びにウイルススキャン機能がある。
Webサーバ コンテンツ公開機能及びコンテンツ更新機能がある。


[攻撃の検出]
 ある週の月曜日、Fさんが前週のFW-Aのログを分析したところ、C-DNSサーバを宛先とするDNSパケットが約10万件も通過を拒否されており、その全てが名前解決応答パケット(以下、応答PTという)であった。しかし、これらの拒否された応答PTに対応する名前解決問合せパケット(以下、問合せPTという)をC-DNSサーバから送信した記録は、FW-Aのログになかった。報告を受けたE主任は、次のことをFさんに説明した。
  • DNSの名前解決通信は主に 【 a 】 を用いる。 【 a 】 は、 【 b 】 ハンドシェイクを用いてコネクションを確立するTCPと比べて、送信元IPアドレスの詐称の検知が困難である。
  • 大量のDNSパケットは、応答PTの送信元IPアドレスや宛先ポート番号を細工した、キャッシュポイズニング攻撃(以下、CP攻撃という)のためのものだったと考えられる。
  • CP攻撃への根本的な対策は、公開鍵暗号によるディジタル署名の仕組みを応用した 【 c 】 というDNSセキュリティ拡張方式を導入することだが、鍵の管理など今までにない運用手順が必要になる。根本的な対策をするかどうか決める前に、なぜCP攻撃が発生したかを調査する必要がある。

 そこでE主任とFさんが、C-DNSサーバの設定を調べたところ、CP攻撃を成功しにくくする設定がなされていることを確認した。さらに、再帰的な名前解決の問合せTPの送信元を限定する設定が行われていることも確認した。

 しかし、なおも拒否される応答PTが多い状況が続いていることから、E主任は、Fさんに対し、図1中の接続点(α)にパケットモニタを接続した上で、FW-A及びC-DNSサーバを調査するように指示した。Fさんが行った調査の結果を図2に示す。

図2 Fさんが行った調査の結果

(1) 送信元を詐称した問合せPT
  • C-DNSサーバは次のような問合せPTを10分ごとに1個受信していた。
送信元が外部メールサーバであり、かつ、宛先がC-DNSサーバであり、かつ、FW-Aが通過を許可した問合せPT。内容は国内の取引先のG社が取得したドメイン名のTXTレコードの問合せであった。
(2) C-DNSサーバに向けた応答PT
  • (1)の問合せPTが届いた直後の1秒間に、送信元がG社のDNSサーバであり、かつ、宛先がC-DNSサーバである応答PTが100個届き、FW-Aが通過を許可した。
  • 100個の応答PTの宛先ポート番号は、到着順に連番であった。
  • 応答内容はG社のドメイン名のTXTレコードであった。
  • TXTレコードには、SPFレコードが設定されていた。SPFレコードに設定されていたIPアドレスは、G社に割り当てられたものではなかった。
  • C-DNSサーバが(1)の問合せPTの名前解決を行うための問合せPTは、インターネット上のDNSサーバに送信されてはいなかった。
(3) C-DNSサーバのキャッシュ
  • C-DNSサーバのキャッシュには、G社のドメイン名のTXTレコードが保存されていた。
  • TXTレコードには、SPFレコードが設定されており、G社に割り当てられたIPアドレスのうち、G社がメールを送信するサーバのIPアドレスが設定されていた。

図2 Fさんが行った調査の結果(ここまで


 この結果から、E主任は、図2の(2)はG社のドメイン名のTXTレコードに対するCP攻撃であると判断した。
 そこで、E主任とFさんは、FW-Aの設定を更に調べることにした。まず、送信元、宛先及びサービスの組み合わせによってパケットの許可又は拒否の動作を指定するフィルタリングルールを確認し、誤りがないことを確認した。
 続いて、表2に示すIPアドレス詐称対策ルールを確認したところ、①表2の項番1の送信元に誤りがあることに気が付き、直ちに設定を修正した。

表2 IPアドレス詐称対策ルール

項番 FW-AのIF 送信元 動作
1 IF-1 DMZ1、内部ネットワーク 拒否
2 IF-1 全て 許可
3 IF-2 内部ネットワーク 許可
4 IF-2 全て 拒否
5 IF-3 DMZ2 許可
6 IF-3 全て 拒否
7 IF-4 DMZ1 許可
8 IF-4 全て 拒否
注記1 パケットが受信された”FW-AのIF”、及びパケットの”送信元”の組み合わせで、パケットの通過を許可するか又は拒否するかの”動作”を指定する。
注記2 項番が小さいものから順に、最初に一致したルールが適用される。

 E主任は、図2の(2)の攻撃は偶然に成功する可能性があることをFさんに説明した。E主任は、②図2の(2)の攻撃に続いて行われる可能性が高い、TXTレコードを利用する機能への攻撃が発生していると考えた。そこで、Xシステムの各サーバのログを、過去1か月にわたって調査するようFさんに指示した。調査の結果、攻撃はあったものの、各サーバの設定が正しく行われていたので失敗に終わっていたことが確認された。

[支社システムの検討と導入]
 A社では、インターネット及びIP-VPNのトラフィックの増加に対処するために、支社に新たなインターネット接続システム(以下、支社システムという)の導入を計画していた。E主任とFさんは、支社システムとして、支社に新たにFWを導入し、インターネット、新たなDMZ及び支社LANを接続することにした。新たなDMZにはXシステムのプロキシサーバと同じ機能の支社プロキシサーバを導入し、インターネットとの接続には、B社サービスを利用することにした。
 続いて、支社プロキシサーバでの名前解決にC-DNSサーバを利用し、支社プロキシサーバとC-DNSサーバとの間の通信をB社サービス経由にする前提で、FW-AとC-DNSサーバの設定の見直しを検討した。検討の結果、送信元が支社プロキシサーバに詐称された問合せPTを拒否する設定は不可能であり、FW-AのIPアドレス詐称対策機能が有効に機能しないことが分かった。そこで再検討した結果、③支社システムに機能を追加することで対応することにした。この対応策によって、支社プロキシサーバとC-DNSサーバ間の通信が不要になることもかくにんした。支社システムへの 【 c 】 の導入は、Xシステムも合わせて支社システムの完成後に検討することとし、今回は見送ることとした。
 E主任とFさんは、検討結果を支社システム導入計画としてまとめ、D部長に報告した。D部長は、支社システム導入計画を経営陣に説明し、了承を得た。E主任とFさんは、支社システム導入計画の遂行に着手した。

設問

設問1 [攻撃の検出]について、(1)~(5)に答えよ。
(1) 本文中の 【 a 】~【 c 】 に入れる適切な字句を、 【 a 】 については英字5字以内、 【 b 】 については6字以内、 【 c 】 については英字8字以内で答えよ。 解説・回答
(2) E主任とFさんが確認した、C-DNSサーバにおいてCP攻撃をしにくくする対策とは何か。”ポート番号”という字句を用いて、対策の内容を30字以内で述べよ。 解説・回答
(3) C-DNSサーバにおいて、図2中の(1)の問合せPTを拒否しない設定にしている理由を、40字以内で述べよ。 解説・回答
(4) 本文中の下線①について、表2の項番1の送信元として設定すべき全てのネットワークを、図1中の(a)~(f)から選び、記号で答えよ。 解説・回答
(5) 本文中の下線②の攻撃の内容を、40字以内で述べよ。 解説・回答

設問2 [支社システムの検討と導入]についいて、(1)、(2)に答えよ。
(1) 送信元を支社プロキシサーバに詐称した問合せPTに対し、FW-AのIPアドレス詐称対策機能が有効に機能しない理由を、60字以内で述べよ。 解説・回答
(2) 本文中の下線③について、支社システムに追加する機能を、20字以内で述べよ。 解説・回答

添付ファイル