メインコンテンツへ
ネットワークネットワーク実践

DNSSEC(DNS Security Extensions)が解決しようとする主な問題として、最も適切なものはどれか。

ア.DNS通信を暗号化することで、クエリの内容が盗聴者に見られないようにする。
イ.DNSサーバーへのDDoS攻撃を緩和し、名前解決サービスの可用性を確保する。
ウ.ドメイン名を取得した組織の実在性を証明し、フィッシングサイトによるブランド悪用を防止する。
エ.DNSレスポンスにデジタル署名を付与することで、攻撃者が偽のDNSレスポンスをキャッシュに注入するキャッシュポイズニングを防止する。正解

解説

DNSSECは「地図の公式スタンプ」。偽の地図(DNS応答)を掴まされないよう、正規の地図発行者(権威DNSサーバー)の署名が入った地図しか信用しない仕組みです。

なぜ エ が正解か

エが正解。DNSキャッシュポイズニングは攻撃者が偽のDNSレスポンスをDNSキャッシュサーバーに注入し、ユーザーを偽サイトへ誘導する攻撃(Kaminsky攻撃など)。DNSSECは権威DNSサーバーが応答データに秘密鍵で電子署名を付与し、受信側がDNSSECチェーンを辿って検証することで、改ざん・偽造されたDNS応答を検知できる。

なぜ ア は間違いか

DNS通信の内容を暗号化して盗聴を防ぐのはDoH(DNS over HTTPS)やDoT(DNS over TLS)の機能。DNSSECは通信の暗号化ではなく、応答データの完全性・真正性の検証を提供する。DNSSECを使っても通信内容は盗聴可能。

なぜ イ は間違いか

DNSサーバーへのDDoS攻撃緩和は、Anycastを使った分散配置やレート制限などの対策によるものであり、DNSSECの目的ではない。DNSSECの署名検証はむしろ計算コストを増加させる面もある。

なぜ ウ は間違いか

ドメイン名を取得した組織の実在性を証明し、フィッシングサイトによるブランド悪用を防止するのはEV(Extended Validation)SSL証明書の機能。DNSSECはDNS応答の完全性を保証するものであり、組織の実在性認証は行わない。

出典: AI生成問題(学習用)