DNSSEC｜情報処理安全確保支援士試験 令和4年春期午前Ⅱ 問13

• ア：DNSキャッシュサーバが得た応答中のリソースレコードが，権威DNSサーバで管理されているものであり，改ざんされていないことの検証
• イ：権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる，ゾーン情報の漏えいの防止
• ウ：長音"ー"と漢数字"一"などの似た文字をドメイン名に用いて，正規サイトのように見せかける攻撃の防止
• エ：利用者のURLの入力誤りを悪用して，偽サイトに誘導する攻撃の検知

解説

DNSSECは、DNS応答にデジタル署名を付けることで、DNSの応答内容が正当なものであり、途中で改ざんされていないことを検証できるようにする仕組みです。

DNSキャッシュサーバは、受け取ったリソースレコードの署名を検証することで、その情報が権威DNSサーバで管理されている正当な情報であること、及び改ざんされていないことを確認できます。

したがって、アが適切です。

❌他選択肢が誤りの理由
イ：権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる，ゾーン情報の漏えいの防止
⇒DNSSECは、DNS応答の真正性と完全性を検証するための仕組みです。通信内容を暗号化してゾーン情報の漏えいを防ぐものではありません。DNSSECを使っても、DNSの問い合わせ内容や応答内容そのものが暗号化されるわけではありません。

---

ウ：長音"ー"と漢数字"一"などの似た文字をドメイン名に用いて，正規サイトのように見せかける攻撃の防止
⇒似た文字を使って正規サイトに見せかける攻撃は、IDNホモグラフ攻撃などに関する説明です。DNSSECはDNS応答の改ざんを検出する仕組みであり、利用者が似た文字の偽ドメインにアクセスしてしまうこと自体を防ぐものではありません。

---

エ：利用者のURLの入力誤りを悪用して，偽サイトに誘導する攻撃の検知
⇒タイポスクワッティングなどの説明です。利用者が誤入力しやすいドメイン名を攻撃者が取得し、偽サイトへ誘導する攻撃であり、DNS応答の署名検証を行うDNSSECで検知する対象ではありません。

---

TSUNAGARU-ADVICE

まず押さえたいこと

DNSSECは、DNS応答にデジタル署名を付けることで、DNSキャッシュサーバが受け取ったリソースレコードについて、正当な権威DNSサーバの情報であり、改ざんされていないことを検証できる仕組みです。

迷ったときの判断軸

DNSSECはDNS通信そのものを暗号化する仕組みではなく、ゾーン情報の漏えい防止や、似た文字を使う偽ドメインの防止を直接行うものでもありません。ポイントは、DNS応答の正当性と完全性を検証することです。

科目Bにつなげるために

科目Bでは、DNSのセキュリティ対策について、暗号化・改ざん検知・なりすまし防止・フィッシング対策を切り分ける力が問われます。DNSSECは、名前解決結果が改ざんされていないかを検証するための仕組みとして理解しておきましょう。