情報処理安全確保支援士試験 2018年 春期 午前2 問16
DNSSEC で実現できることはどれか。
ア:DNSキャッシュサーバが得た応答中のリソースレコードが,権威DNSサーバで管理されているものであり, 改ざんされていないことの検証(正解)
イ:権威DNSサーバと DNS キャッシュサーバとの通信を暗号化することによる,ゾーン情報の漏えいの防止
ウ:長音“一”と漢数字 “一” などの似た文字をドメイン名に用いて, 正規サイトのように見せかける攻撃の防止
エ:利用者の URL の入力誤りを悪用して, 偽サイトに誘導する攻撃の検知
解説
DNSSEC で実現できることはどれか【午前2 解説】
要点まとめ
- 結論:DNSSECはDNS応答の改ざん検知と正当性の検証を実現します。
- 根拠:DNSSECはデジタル署名を用いてDNSデータの整合性と認証を保証する技術です。
- 差がつくポイント:通信の暗号化ではなく、応答データの改ざん検知に特化している点を理解しましょう。
正解の理由
ア: DNSキャッシュサーバが得た応答中のリソースレコードが,権威DNSサーバで管理されているものであり, 改ざんされていないことの検証が正解です。
DNSSECはDNS応答に電子署名を付加し、受信側がその署名を検証することで、応答が正当な権威DNSサーバからのもので改ざんされていないことを保証します。これによりDNSキャッシュサーバやクライアントは偽の情報を受け取るリスクを減らせます。
DNSSECはDNS応答に電子署名を付加し、受信側がその署名を検証することで、応答が正当な権威DNSサーバからのもので改ざんされていないことを保証します。これによりDNSキャッシュサーバやクライアントは偽の情報を受け取るリスクを減らせます。
よくある誤解
DNSSECは通信の暗号化を行う技術ではありません。暗号化は別の技術(例:DNS over TLS)で実現します。
また、DNSSECは文字の類似を利用した攻撃や入力誤りの検知には対応していません。
また、DNSSECは文字の類似を利用した攻撃や入力誤りの検知には対応していません。
解法ステップ
- DNSSECの目的を確認する:DNS応答の改ざん検知と認証。
- 選択肢の内容を技術的に照らし合わせる。
- 通信の暗号化や文字の類似攻撃防止はDNSSECの機能外と判断。
- 改ざん検証に関する選択肢を正解とする。
選択肢別の誤答解説ステップ
- ア:正解。DNS応答の改ざん検知と正当性の検証を実現。
- イ:誤り。権威DNSサーバとキャッシュサーバ間の通信暗号化はDNSSECの機能ではない。
- ウ:誤り。文字の類似を利用した攻撃(IDNホモグリフ攻撃)はDNSSECでは防げない。
- エ:誤り。URL入力誤りを悪用した攻撃検知はDNSSECの範囲外。
補足コラム
DNSSECはDNSの信頼性向上を目的に開発され、DNS応答に署名を付けることで改ざんやなりすましを防ぎます。
ただし、DNSSEC自体は通信の暗号化を行わず、プライバシー保護にはDNS over HTTPS(DoH)やDNS over TLS(DoT)などの技術が用いられます。
また、IDN(国際化ドメイン名)に関する攻撃は別途対策が必要です。
ただし、DNSSEC自体は通信の暗号化を行わず、プライバシー保護にはDNS over HTTPS(DoH)やDNS over TLS(DoT)などの技術が用いられます。
また、IDN(国際化ドメイン名)に関する攻撃は別途対策が必要です。
FAQ
Q: DNSSECは通信内容を暗号化しますか?
A: いいえ。DNSSECは応答の改ざん検知と認証を行う技術で、通信の暗号化は行いません。
A: いいえ。DNSSECは応答の改ざん検知と認証を行う技術で、通信の暗号化は行いません。
Q: DNSSECはどのように改ざんを検知しますか?
A: DNS応答に電子署名を付加し、受信側が公開鍵で署名を検証することで改ざんを検知します。
A: DNS応答に電子署名を付加し、受信側が公開鍵で署名を検証することで改ざんを検知します。
Q: DNSSECは偽サイトへの誘導を防げますか?
A: DNS応答の正当性は保証しますが、URL入力誤りや類似文字を使った攻撃は防げません。
A: DNS応答の正当性は保証しますが、URL入力誤りや類似文字を使った攻撃は防げません。
関連キーワード: DNSSEC, DNS改ざん検知, 電子署名, DNSキャッシュサーバ, 権威DNSサーバ, DNSセキュリティ