戦国IT

情報処理技術者試験の無料過去問対策サイト

ホーム > 情報処理安全確保支援士試験 > 2016年 秋期

情報処理安全確保支援士試験 2016年 秋期 午前213

DNSSECで実現できることはどれか。
DNSキャッシュサーバが得た応答中のリソースレコードが権威DNSサーバで管理されているものであり改ざんされていないことの検証(正解)
権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによるゾーン情報の漏えいの防止
長音や漢数字などの似た文字をドメイン名に用いて正規サイトのように見せかける攻撃の防止
利用者のURLの打ち間違いを悪用して偽サイトに誘導する攻撃の検知

解説

DNSSEC(Domain Name System Security Extensions)は、DNS(ドメインネームシステム)のセキュリティを強化するための拡張仕様です。DNS自体はインターネット上でドメイン名とIPアドレスの対応関係を解決する重要なサービスですが、基本的なDNSは通信の内容を暗号化したり、改ざんされていないかを保証したりする機能を持っていません。そのため、悪意のある第三者によるDNSキャッシュポイズニングやなりすましなどの攻撃に対して脆弱です。

DNSSECの役割と実現できること

DNSSECは、DNS応答の改ざん検出を可能にする技術です。具体的には、
  • DNSサーバが返す応答に電子署名を付けることで、その応答データが権威あるDNSサーバからのものであり、途中で改ざんや偽装がされていないことを検証できます。
この仕組みは公開鍵暗号技術を応用しており、
  1. 権威DNSサーバはゾーン情報(ドメイン名と対応するIPなど)に対応した秘密鍵で署名を生成します。
  2. 受け取ったDNSキャッシュサーバは、公開鍵を用いて署名の検証を行い、情報の正当性を確認します。
これにより、
  • 「ア」の選択肢のように、DNSキャッシュサーバが受け取った応答が本当に権威DNSサーバ由来で改ざんされていないことを証明できます。

他の選択肢の説明

  • 「イ」:DNSSECは応答データの改ざん検知が目的であり、権威DNSサーバとキャッシュサーバ間の通信を暗号化するものではありません。通信の暗号化はTLS(DNS over TLS)やDNS over HTTPS (DoH)といった技術が担います。
  • 「ウ」:長音や漢数字などを使った似た文字をドメイン名に見せかける攻撃は「IDN混同問題」として知られ、DNSSECでは防止できません。これは別の対策が必要です。
  • 「エ」:利用者のURL打ち間違いを悪用する攻撃は一般的にフィッシングなどで、DNSSECによる直接の検知はできません。

まとめ

DNSSECは DNSの応答が正当な権威DNSサーバから来ているものであり改ざんされていないことを保証する仕組み です。これによりDNSの信頼性が飛躍的に向上し、安全なインターネット利用を支援します。
したがって正解は「ア」です。
← 前の問題へ次の問題へ →

©︎2025 情報処理技術者試験対策アプリ