ホーム > 情報処理安全確保支援士試験 > 2018年 春期
情報処理安全確保支援士試験 2018年 春期 午前2 問16
DNSSEC で実現できることはどれか。
ア:DNSキャッシュサーバが得た応答中のリソースレコードが,権威DNSサーバで管理されているものであり, 改ざんされていないことの検証(正解)
イ:権威DNSサーバと DNS キャッシュサーバとの通信を暗号化することによる,ゾーン情報の漏えいの防止
ウ:長音“一”と漢数字 “一” などの似た文字をドメイン名に用いて, 正規サイトのように見せかける攻撃の防止
エ:利用者の URL の入力誤りを悪用して, 偽サイトに誘導する攻撃の検知
解説
DNSSEC(DNS Security Extensions)は、DNS(Domain Name System)に対してセキュリティ機能を追加する仕組みです。DNSはインターネット上でドメイン名をIPアドレスに変換する重要な役割を担っていますが、元々はセキュリティを強く意識した設計ではありません。そのため、DNSの応答内容が途中で改ざんされるリスクが存在します。DNSSECはこの問題を解決する技術です。
正解の選択肢:アについて
「DNSキャッシュサーバが得た応答中のリソースレコードが、権威DNSサーバで管理されているものであり、改ざんされていないことの検証」を実現します。
- DNSSECの主な目的は、DNSの応答データに対してデジタル署名を付加し、応答の正当性(真正性)と完全性(改ざんされていないこと)を検証可能にすることです。
- 具体的には、権威DNSサーバが自分のゾーンのレコードに対し秘密鍵で署名を行い、利用者側は公開鍵で署名の検証をします。
- これにより、DNSキャッシュサーバや中間ノードが応答を改ざんした場合でも、それを検知できるため、キャッシュポイズニングなどの攻撃を防止できます。
他の選択肢の解説
-
イ(権威DNSサーバとDNSキャッシュサーバ間の通信暗号化)DNSSECは通信経路の暗号化を目的としていません。通信の暗号化は例えばDNS over TLS (DoT)やDNS over HTTPS (DoH)といった技術が用いられます。DNSSECは応答のデータ自体の署名と検証に焦点を当てています。
-
ウ(似た文字を用いた攻撃の防止)似た文字(例:「一」と長音符「ー」)を用いた攻撃はスキミングやフィッシングの一種ですが、これはDNS名の文字の混乱に関わる問題であり、DNSSECの範囲外です。対策としては入力支援やIDNの規則、ブラウザ側の警告などがあります。
-
エ(利用者のURL入力誤りを悪用した攻撃の検知)URL入力ミスによる偽サイト誘導はフィッシングの一種ですが、DNSSECはこうしたユーザ操作レベルの問題や誘導の検知までは行いません。これも別のセキュリティ対策(例:ブラウザのセーフブラウジング機能など)が必要です。
補足:DNSSECの仕組みのイメージ
- 権威DNSサーバがゾーンのデータに秘密鍵で電子署名を行う。
- DNSキャッシュサーバやリゾルバは、受け取った応答の署名を公開鍵で検証する。
- 検証が成功すれば、「このデータは改ざんされていない」と確信できる。
まとめると、DNSSECはDNSの応答の「信頼性保証」を目的にしており、選択肢の中では「ア」が正しいです。通信の暗号化や文字の見間違い対策、入力誤り検知はDNSSECの機能には含まれません。
以上の理由から正解は「ア」となります。