AP過去問令和6年度春期午前問37

問37(問題文)

　DNSSECで実現できることはどれか。

ア　DNSキャッシュサーバが得た応答の中のリソースレコードが、権威DNSサーバで管理されているものであり、改ざんされていないことの検証

イ　権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる、ゾーン情報の漏えいの防止

ウ　長音"ー"と漢数字"一"などの似た文字をドメイン名に用いて、正規サイトのように見せかける攻撃の防止

エ　利用者のURLの入力誤りを悪用して、偽サイトに誘導する攻撃の検知

アは✅正しいです。この内容は、DNSSEC(DNS Security Extensions)が実現する機能そのものです。DNSSECは、DNS応答に対して電子署名を付与し、キャッシュサーバなどがその正当性(出所と改ざんの有無)を検証できるようにします。したがって、正しい選択肢です。

イは❌間違いです。DNSSECは、改ざんの検出を目的とした仕組みであり、通信の暗号化は行いません。通信の暗号化を実現するには、DoT(DNS over TLS)やDoH(DNS over HTTPS)などの技術が使われます。したがって、この選択肢はDNSSECの機能ではありません。

ウは❌間違いです。これは、ホモグリフ攻撃と呼ばれる手法で、視覚的に似た文字を使ってユーザを欺くものです。DNSSECはこのような表記の問題には関与しません。このため、この選択肢もDNSSECの目的とは異なります。

エは❌間違いです。これは、タイポスクワッティング(typosquatting)と呼ばれる攻撃ですが、DNSSECにはこのようなユーザの誤入力や誘導を検知する仕組みはありません。したがって、この選択肢もDNSSECで実現できる内容ではありません。

　したがって

ア

　が答えです。