応用情報技術者試験 令和6年春 午前問37 解説付き過去問
問題
DNSSECで実現できることはどれか。
正解
解説
DNSSEC(Domain Name System Security Extensions)は、DNSの応答が正当なものであることを保証するための拡張仕様であり、DNSのデータの完全性と正当性を担保することを目的としている。
各選択肢について説明する。
各選択肢について説明する。
- DNSキャッシュサーバが得た応答の中のリソースレコードが、権威DNSサーバで管理されているものであり、改ざんされていないことの検証
これはDNSSECの主な機能の一つであり、正しい内容である。DNSSECは、リソースレコードにデジタル署名を付与することで、DNSの応答が正当なものであるかを検証できるようにする仕組みである。 - 権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる、ゾーン情報の漏えいの防止
DNSSECは、DNSのデータ改ざん防止を目的とした技術であり、通信の暗号化自体は行わない。DNSの通信を暗号化するには、DNS over TLS(DoT)やDNS over HTTPS(DoH)などの別の技術が用いられる。 - 長音"ー"と漢数字"一"などの似た文字をドメイン名に用いて、正規サイトのように見せかける攻撃の防止
この攻撃は「IDNホモグラフ攻撃」と呼ばれるが、DNSSECでは防ぐことができない。この問題に対しては、ドメイン名の登録時に類似文字を使用できないようにする対策などが有効である。 - 利用者のURLの入力誤りを悪用して、偽サイトに誘導する攻撃の検知
これは「タイポスクワッティング」と呼ばれる攻撃であるが、DNSSECはこのような攻撃の検知を目的としていない。DNSSECの主な機能は、DNSの応答が改ざんされていないかを検証することである。