情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和4年度春期 午前Ⅱ 問13: DNSSECで実現できることはどれか。
←情報処理安全確保支援士試験 令和4年度春期 午前Ⅱ
SECで実現できることはどれか。
選択肢
- ア.DNSキャッシュサーバが得た応答中のリソースレコードが,権威DNSサーバで管理されているものであり,改ざんされていないことの検証
- イ.権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる,ゾーン情報の漏えいの防止
- ウ.長音“ー”と漢数字“一”などの似た文字をドメイン名に用いて,正規サイトのように見せかける攻撃の防止
- エ.利用者のURLの入力誤りを悪用して,偽サイトに誘導する攻撃の検知
正解
ア. DNSキャッシュサーバが得た応答中のリソースレコードが,権威DNSサーバで管理されているものであり,改ざんされていないことの検証
解説
DNSSECは、DNSの応答(リソースレコード)にデジタル署名を付け、それを信頼の連鎖でたどって検証する仕組み。これにより、応答が正規の権威DNSサーバ由来で改ざんされていないことを保証でき、キャッシュポイズニング等の偽応答を見抜ける。よってアが正解。なお暗号化ではなく真正性・完全性の保証が目的で、ゾーン情報の秘匿はしない点に注意。
選択肢ごとの解説
- ア.応答レコードが権威DNSサーバ由来で改ざんされていないことを署名で検証できるのがDNSSECで、これが正解。
- イ.DNSSECは応答の真正性保証であり通信の暗号化やゾーン情報漏えい防止は目的でないため誤り。
- ウ.似た文字でドメインを偽装する攻撃(ホモグラフ)の防止はDNSSECの機能ではないため誤り。
- エ.入力誤りを悪用する攻撃(タイポスクワッティング)の検知はDNSSECの目的ではないため誤り。
情報処理安全確保支援士試験 令和4年度春期 午前Ⅱ の過去問一覧へ戻る・問13