情報処理安全確保支援士 2020年 秋期 午前2 問15
問題文
DNSSEC で実現できることはどれか。
選択肢
ア:DNS キャッシュサーバが得た応答中のリソースレコードが、権威 DNS サーバで管理されているものであり、改ざんされていないことの検証(正解)
イ:権威 DNS サーバと DNS キャッシュサーバとの通信を暗号化することによる、ゾーン情報の漏えいの防止
ウ:長音“一”と漢数字 “一” などの似た文字をドメイン名に用いて、正規サイトのように見せかける攻撃の防止
エ:利用者の URL の入力誤りを悪用して、偽サイトに誘導する攻撃の検知
DNSSEC で実現できることはどれか【午前2 解説】
要点まとめ
- 結論:DNSSECはDNS応答の改ざん検知と正当性の検証を実現します。
- 根拠:DNSSECは公開鍵暗号を用いてDNSデータの署名を行い、応答の信頼性を保証します。
- 差がつくポイント:通信の暗号化や類似文字攻撃の防止ではなく、DNSデータの整合性検証が主目的です。
正解の理由
ア: DNSキャッシュサーバが得た応答中のリソースレコードが、権威DNSサーバで管理されているものであり、改ざんされていないことの検証が正解です。
DNSSECはDNS応答にデジタル署名を付与し、受信側がその署名を検証することで、応答が正当な権威DNSサーバからのもので改ざんされていないことを保証します。これによりDNSキャッシュサーバやクライアントは偽のDNS情報を受け取るリスクを減らせます。
DNSSECはDNS応答にデジタル署名を付与し、受信側がその署名を検証することで、応答が正当な権威DNSサーバからのもので改ざんされていないことを保証します。これによりDNSキャッシュサーバやクライアントは偽のDNS情報を受け取るリスクを減らせます。
よくある誤解
DNSSECはDNS通信の暗号化を行うものではなく、あくまでDNSデータの改ざん検知と正当性検証を目的としています。
また、類似文字を使ったフィッシング攻撃や入力誤りの検知はDNSSECの機能範囲外です。
また、類似文字を使ったフィッシング攻撃や入力誤りの検知はDNSSECの機能範囲外です。
解法ステップ
- DNSSECの目的を理解する(DNS応答の信頼性確保)。
- 選択肢の内容をDNSSECの機能と照らし合わせる。
- 「改ざん検知と正当性検証」に該当する選択肢を探す。
- 通信の暗号化や類似文字攻撃防止はDNSSECの機能外と判断する。
- 正解は「ア」と確定する。
選択肢別の誤答解説
- ア: 正解。DNS応答の改ざん検知と正当性検証を実現する。
- イ: 誤り。DNSSECは通信の暗号化を行わず、ゾーン情報の漏えい防止は目的外。
- ウ: 誤り。類似文字を使った攻撃はIDN(国際化ドメイン名)問題であり、DNSSECの機能ではない。
- エ: 誤り。入力誤りを悪用した攻撃検知はDNSSECの範囲外で、別のセキュリティ対策が必要。
補足コラム
DNSSECはDNSの信頼性を高めるために導入された拡張仕様で、DNS応答に電子署名を付加します。これによりDNSキャッシュポイズニング攻撃などの改ざんリスクを低減できます。ただし、DNSSEC自体は通信の暗号化を行わず、DNSのプライバシー保護には別途DNS over HTTPS(DoH)やDNS over TLS(DoT)が用いられます。
FAQ
Q: DNSSECはDNS通信を暗号化しますか?
A: いいえ。DNSSECはDNSデータの改ざん検知と正当性検証を行うもので、通信の暗号化は行いません。
A: いいえ。DNSSECはDNSデータの改ざん検知と正当性検証を行うもので、通信の暗号化は行いません。
Q: DNSSECはどのようにして改ざんを検知しますか?
A: DNS応答に電子署名を付与し、受信側が公開鍵で署名を検証することで改ざんの有無を判断します。
A: DNS応答に電子署名を付与し、受信側が公開鍵で署名を検証することで改ざんの有無を判断します。
Q: DNSSECで防げない攻撃は何ですか?
A: フィッシングのための類似文字攻撃や入力誤りを悪用した攻撃などはDNSSECの対象外です。
A: フィッシングのための類似文字攻撃や入力誤りを悪用した攻撃などはDNSSECの対象外です。
関連キーワード: DNSSEC, DNS改ざん検知、電子署名、DNSキャッシュポイズニング、DNSセキュリティ
\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!