平成31年春期試験午前問題 問40

DNSSECについての記述のうち,適切なものはどれか。

  • DNSサーバへの問合せ時の送信元ポート番号をランダムに選択することによって,DNS問合せへの不正な応答を防止する。
  • DNSの再帰的な問合せの送信元として許可するクライアントを制限することによって,DNSを悪用したDoS攻撃を防止する。
  • 共通鍵暗号方式によるメッセージ認証を用いることによって,正当なDNSサーバからの応答であることをクライアントが検証できる。
  • 公開鍵暗号方式によるディジタル署名を用いることによって,正当なDNSサーバからの応答であることをクライアントが検証できる。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:セキュリティ実装技術
DNSSECは、DNS Security Extensionsの略で、DNSにおける応答の正当性を保証するための拡張仕様です。DNSSECではドメイン応答にディジタル署名を付加することで、正当な管理者によって生成された応答レコードであること、また応答レコードが改ざんされていないことの検証が可能になります。

DNSキャッシュポイズニング攻撃では、攻撃者が偽の応答パケットをキャッシュサーバに送り込み、それをキャッシュサーバが受理してしまうことによって攻撃が成立するので、DNSSECの使用が根本的な対策になります。しかし、各DNSサーバのDNSSEC対応、電子署名に必要な鍵の管理や配布方法の確立、ルートやTLDの署名が必要なことなど、さまざまな課題があり、普及に当たっては今しばらく時間が必要です。

したがって適切な記述は「エ」です。
  • ソースポートランダマイゼーションの説明です。
  • DoS攻撃やキャッシュポイズニング攻撃を防止するための対策です。
  • メッセージ認証では通信相手の正当性を確認できません。
  • 正しい。DNSSECの説明です。

Pagetop