応用情報技術者 2024年 春期 午前2 問37
問題文
DNSSECで実現できることはどれか。
選択肢
ア:DNSキャッシュサーバが得た応答の中のリソースレコードが、権威DNSサーバで管理されているものであり、改ざんされていないことの検証(正解)
イ:権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる、ゾーン情報の漏えいの防止
ウ:長音“ー”と漢数字“一”などの似た文字をドメイン名に用いて、正規サイトのように見せかける攻撃の防止
エ:利用者のURLの入力誤りを悪用して、偽サイトに誘導する攻撃の検知
DNSSECで実現できること【午前2 解説】
要点まとめ
- 結論:DNSSECはDNS応答の改ざん検知と正当性の保証を実現します。
- 根拠:DNSSECは公開鍵暗号を用いてDNSリソースレコードの署名を検証し、改ざんを防止します。
- 差がつくポイント:通信の暗号化ではなく、応答データの真正性検証に特化している点を理解しましょう。
正解の理由
ア: DNSキャッシュサーバが得た応答の中のリソースレコードが、権威DNSサーバで管理されているものであり、改ざんされていないことの検証が正解です。
DNSSECはDNS応答に電子署名を付与し、受信側がその署名を検証することで、応答が正当な権威DNSサーバからのもので改ざんされていないことを保証します。これにより、DNSキャッシュサーバやクライアントは偽のDNS情報を受け取るリスクを減らせます。
DNSSECはDNS応答に電子署名を付与し、受信側がその署名を検証することで、応答が正当な権威DNSサーバからのもので改ざんされていないことを保証します。これにより、DNSキャッシュサーバやクライアントは偽のDNS情報を受け取るリスクを減らせます。
よくある誤解
DNSSECは通信の暗号化を行うものではなく、あくまでDNS応答の改ざん検知と真正性の保証に特化しています。
解法ステップ
- DNSSECの目的を「DNS応答の改ざん検知」と認識する。
- 選択肢の内容が「通信の暗号化」か「応答の検証」かを区別する。
- 「権威DNSサーバの管理情報の検証」がDNSSECの本質であると判断する。
- 他の選択肢がDNSSECの機能と異なることを確認する。
選択肢別の誤答解説
- イ: 権威DNSサーバとDNSキャッシュサーバ間の通信暗号化はDNSSECの機能ではなく、TLSなど別技術の役割です。
- ウ: 似た文字を使った攻撃(IDNホモグリフ攻撃)はDNSSECでは防げず、別の対策が必要です。
- エ: URL入力誤りを悪用した攻撃検知はDNSSECの範囲外で、セキュリティソフトやブラウザの機能に依存します。
補足コラム
DNSSECはDNSの信頼性を高めるために開発され、DNS応答にデジタル署名を付与します。これにより、DNSキャッシュポイズニング攻撃などの改ざんリスクを低減しますが、通信の暗号化は行わないため、通信経路の盗聴は防げません。
FAQ
Q: DNSSECはDNS通信を暗号化しますか?
A: いいえ、DNSSECは応答の改ざん検知と真正性の保証を行い、通信の暗号化は行いません。
A: いいえ、DNSSECは応答の改ざん検知と真正性の保証を行い、通信の暗号化は行いません。
Q: DNSSECで防げない攻撃は何ですか?
A: IDNホモグリフ攻撃やURL入力誤りを悪用した攻撃など、DNS応答の改ざん以外の攻撃は防げません。
A: IDNホモグリフ攻撃やURL入力誤りを悪用した攻撃など、DNS応答の改ざん以外の攻撃は防げません。
関連キーワード: DNSSEC, DNS応答検証、DNSキャッシュポイズニング、電子署名、DNSセキュリティ
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!