令和6年秋期試験問題 午前問44

DNSSECの仕様はどれか。

  • DNSキャッシュサーバで,権威DNSサーバに名前を問い合わせるときの送信元ポート番号を問合せのたびにランダムに変える。
  • 権威DNSサーバで公開鍵を公開し,秘密鍵を使ってリソースレコードにデジタル署名を付与する。DNSキャッシュサーバで,権威DNSサーバから受信したリソースレコードのデジタル署名を検証する。
  • 電子メールを送信するメールサーバのIPアドレスを権威DNSサーバに登録する。電子メールを受信するメールサーバで,権威DNSサーバに登録されている情報を用いて,送信元メールサーバのIPアドレスを検証する。
  • 電子メールを送信するメールサーバの公開鍵を権威DNSサーバで公開し,秘密鍵を使って電子メールにデジタル署名を付与する。電子メールを受信するメールサーバで,電子メールのデジタル署名を検証する。
正解 問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:セキュリティ実装技術
解説
DNSSEC(DNS Security Extensions)は、DNSにおける応答の正当性を保証するための拡張仕様です。DNSSECでは名前解決の応答パケットにデジタル署名を付加することで、正当な管理者によって生成された応答レコードであること、また応答レコードが改ざんされていないことの検証が可能になります。
44.png
DNSキャッシュポイズニング攻撃では、攻撃者から送り付けられた偽の応答パケットをキャッシュサーバが登録してしまうことによって攻撃が成立します。このため、DNSSECを導入して応答パケットの正当性をチェックすることが根本的な対策となります。しかし、各DNSサーバのDNSSEC対応、デジタル署名に必要な鍵の管理や配布方法の確立、ルートやTLDの署名が必要なことなどいくつかの課題があるため、普及に当たって今しばらく時間が必要な状況です。

したがって正しい動作は「イ」です。
  • ソースポートランダマイゼーションの説明です。
  • 正しい。DNSSECの説明です。
  • SPF(Sender Policy Framework)の説明です。
  • DKIM(DomainKeys Identified Mail)の説明です。

Pagetop