AP過去問 令和6年度春期 午前 問41
AP過去問 令和6年度春期 午前 問40前の問題へ
AP過去問 令和6年度春期 午前 問42次の問題へ
問41(問題文)
WAFによる防御が有効な攻撃として、最も適切なものはどれか。
ア DNSサーバに対するDNSキャッシュポイズニング
イ REST APIサービスに対するAPIの脆弱性を狙った攻撃
ウ SMTPサーバの第三者不正中継の脆弱性を悪用したフィッシングメールの配信
エ 電子メールサービスに対する大量、かつ、サイズの大きな電子メールの配信
回答・解説
アは❌間違いです。(DNSサーバに対するDNSキャッシュポイズニング)この攻撃はDNSサーバを対象としており、Webアプリケーション層の通信を監視・制御するWAF(Web Application Firewall) の守備範囲外です。そのため、WAFでは防御できません。
イは✅正しいです。(REST APIサービスに対するAPIの脆弱性を狙った攻撃)WAFはHTTP(S)通信を解析し、不正なリクエストや攻撃的な入力を検知・遮断する仕組みを持っています。REST APIはHTTPベースで通信するため、WAFによってリクエスト内容を検査し、防御することが可能です。このため、最も適切な選択肢です。RESTはRepresentational State Transferの略で直訳すると表現的状態移行となります。RESTは4つの原則があり、
- セッションなどの状態管理を行わない。(やり取りされる情報はそれ自体で完結して解釈することができる)
- 情報を操作する命令の体系が予め定義・共有されている。(HTTPのGETやPOSTメソッドなど)
- すべての情報は汎用的な構文で一意に識別される。(URLやURIなど)
- 情報の内部に、別の情報や(その情報の別の)状態へのリンクを含めることができる。
以上の原則にのっとったWebシステムを外部から利用するためのプログラムの呼び出し規約です。
ウは❌間違いです。(SMTPサーバの第三者不正中継の脆弱性を悪用したフィッシングメールの配信)SMTPは電子メール送信プロトコルであり、WAFの対象外であるメールサーバ通信に関する脆弱性です。WAFでは防御できません。
エは❌間違いです。(電子メールサービスに対する大量、かつ、サイズの大きな電子メールの配信)これもメールサービスへのリソース攻撃(DOSに近い性質)であり、WAFが介在するWebアプリケーションの通信とは関係がありません。したがってWAFによる防御は期待できません。
したがって
イ
が答えです。
AP過去問 令和6年度春期 午前 問40前の問題へ
AP過去問 令和6年度春期 午前 問42次の問題へ