情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度春期 午前Ⅱ 問16: DNSSEC で実現できることはどれか。

問題本文

DNSSEC で実現できることはどれか。

選択肢

• ア.DNS キャッシュサーバが得た応答中のリソースレコードが，権威 DNS サーバで管理されているものであり，改ざんされていないことの検証
• イ.権威 DNS サーバと DNS キャッシュサーバとの通信を暗号化することによる，ゾーン情報の漏えいの防止
• ウ.長音“ー”と漢数字“一”などの似た文字をドメイン名に用いて，正規サイトのように見せかける攻撃の防止
• エ.利用者の URL の入力誤りを悪用して，偽サイトに誘導する攻撃の検知

正解

ア. DNS キャッシュサーバが得た応答中のリソースレコードが，権威 DNS サーバで管理されているものであり，改ざんされていないことの検証

解説

DNSSECは、DNS応答中のリソースレコードに署名を付け、権威DNSサーバの公開鍵で検証することで、応答が正規であり改ざんされていないことを保証する。これによりキャッシュポイズニング等での偽応答を見抜ける。これを述べたアが正しい。なおDNSSECは完全性の保証が目的で、通信内容の暗号化(秘匿)は行わない点に注意する。

選択肢ごとの解説

• ア.応答レコードが権威サーバ由来で改ざんされていないことを検証するDNSSECの正しい説明で、正解。
• イ.DNSSECは署名による完全性保証が目的で、通信を暗号化しゾーン情報漏えいを防ぐものではない。
• ウ.似た文字でのなりすまし(ホモグラフ)対策はDNSSECの機能ではなく、改ざん検知とは別問題。
• エ.入力誤りを突くタイポスクワッティングの検知はDNSSECの目的外で、署名検証では扱わない。