応用情報技術者試験 応用情報技術者試験 令和6年度春期 午前 問37: DNSSEC で実現できることはどれか。

問題本文

DNSSEC で実現できることはどれか。

選択肢

• ア.DNS キャッシュサーバが得た応答の中のリソースレコードが，権威 DNS サーバで管理されているものであり，改ざんされていないことの検証
• イ.権威 DNS サーバと DNS キャッシュサーバとの通信を暗号化することによる，ゾーン情報の漏えいの防止
• ウ.長音“ー”と漢数字“一”などの似た文字をドメイン名に用いて，正規サイトのように見せかける攻撃の防止
• エ.利用者の URL の入力誤りを悪用して，偽サイトに誘導する攻撃の検知

正解

ア. DNS キャッシュサーバが得た応答の中のリソースレコードが，権威 DNS サーバで管理されているものであり，改ざんされていないことの検証

解説

DNSSEC(DNS Security Extensions)は、DNSの応答にデジタル署名を付け、その署名を検証することで、応答内のリソースレコードが正当な権威DNSサーバ由来であり途中で改ざんされていないことを確認できるようにする仕組みである。これによりDNSキャッシュポイズニングのような応答の偽装を検知できる。アがこの機能を正しく述べており正解である。

選択肢ごとの解説

• ア.正しい。デジタル署名により、応答中のリソースレコードが権威DNSサーバ由来で改ざんされていないことを検証できるのがDNSSECである。
• イ.DNSSECは署名による完全性・正当性の検証が目的であり、通信内容を暗号化してゾーン情報の漏えいを防ぐ仕組みではないため誤り。
• ウ.似た文字を使ってドメイン名を偽装する攻撃(ホモグラフ攻撃)を防ぐ仕組みはDNSSECの機能ではないため誤り。
• エ.URLの入力誤りを悪用して偽サイトへ誘導する攻撃(タイポスクワッティング)の検知はDNSSECの目的ではないため誤り。