ホーム > 情報処理安全確保支援士試験 > 2015年 春期
情報処理安全確保支援士試験 2015年 春期 午前2 問14
DNSSECで実現できることはどれか。
ア:DNSキャッシュサーバからの応答中のリソースレコードが,権威DNSサーバで管理されているものであり,改ざんされていないことの検証(正解)
イ:権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる,ゾーン情報の漏えいの防止
ウ:長音“一”と漢数字“一”などの似た文字をドメイン名に用いて,正規サイトのように見せかける攻撃の防止
エ:利用者のURLの打ち間違いを悪用して,偽サイトに誘導する攻撃の検知
解説
DNSSECで実現できることはどれか【午前2 解説】
要点まとめ
- 結論:DNSSECはDNS応答の改ざん検知と正当性の保証を実現します。
- 根拠:DNSSECは公開鍵暗号を用いてDNSデータの署名検証を行い、権威DNSサーバの情報が改ざんされていないことを証明します。
- 差がつくポイント:DNSSECは通信の暗号化や類似文字攻撃の防止ではなく、DNS応答の真正性検証に特化している点を理解しましょう。
正解の理由
選択肢アは「DNSキャッシュサーバからの応答中のリソースレコードが、権威DNSサーバで管理されているものであり、改ざんされていないことの検証」とあります。これはDNSSECの本質的な機能であり、DNS応答にデジタル署名を付与して改ざんを検出し、正当なDNS情報であることを保証します。したがって、アが正解です。
よくある誤解
DNSSECはDNS通信の暗号化を行うものではなく、通信経路の秘密保持や類似文字を使ったフィッシング対策も直接の目的ではありません。
解法ステップ
- DNSSECの目的を確認する(DNS応答の改ざん検知と正当性保証)。
- 選択肢の内容をDNSSECの機能と照らし合わせる。
- 通信の暗号化や文字の類似性による攻撃防止はDNSSECの範囲外と判断。
- DNS応答の署名検証に関する選択肢を正解とする。
選択肢別の誤答解説
- ア: DNSSECの正しい機能を示しており、正解です。
- イ: DNSキャッシュサーバと権威DNSサーバ間の通信暗号化はDNSSECの機能ではなく、TLSなど別技術の役割です。
- ウ: 似た文字を使った攻撃(IDNホモグリフ攻撃)はDNSSECでは防げず、別の対策が必要です。
- エ: URLの打ち間違いを悪用した攻撃検知はDNSSECの範囲外で、ブラウザやセキュリティソフトの機能です。
補足コラム
DNSSECはDNSの信頼性を高めるために開発され、DNS応答に電子署名を付加します。これにより、DNSキャッシュサーバや中間者攻撃による改ざんを検出可能にします。ただし、通信の暗号化は行わず、DNSの名前解決の正当性を保証することに特化しています。
FAQ
Q: DNSSECはDNS通信を暗号化しますか?
A: いいえ、DNSSECは通信の暗号化ではなく、DNS応答の改ざん検知と正当性検証を行います。
A: いいえ、DNSSECは通信の暗号化ではなく、DNS応答の改ざん検知と正当性検証を行います。
Q: DNSSECはフィッシング攻撃を完全に防げますか?
A: いいえ、DNSSECはDNS応答の正当性を保証しますが、類似文字を使ったフィッシングなどは別の対策が必要です。
A: いいえ、DNSSECはDNS応答の正当性を保証しますが、類似文字を使ったフィッシングなどは別の対策が必要です。
関連キーワード: DNSSEC, DNS改ざん検知, 電子署名, DNSキャッシュサーバ, 権威DNSサーバ, IDNホモグリフ攻撃, DNSセキュリティ