DNSとDNSSEC

DNS（Domain Name System）とは？

「www.example.com → 192.168.1.1」みたいに、ドメイン名をIPアドレスに変換するシステム

仕組み

1. ユーザーが「www.example.com」にアクセス
2. DNSサーバーに問い合わせる → IPアドレス（192.168.1.1）が返ってくる
3. そのIPアドレスを使って、サーバーに接続する

問題点❌

• DNSはもともと「セキュリティ」を考慮して設計されていない！
• 攻撃者が偽のIPアドレスを返す 「DNSキャッシュポイズニング」 などの攻撃が可能。

DNSSEC（DNS Security Extensions）とは？

「DNSの応答が本物かどうかを電子署名で保証する仕組み」

仕組み

1. DNSサーバーが「デジタル署名付きのDNSレコード」を返す（RRSIGレコード）
2. クライアント側が「公開鍵（DNSKEYレコード）」を使って署名を検証
3. 改ざんされていなければOK、署名が不正ならアクセスしない！

✅ DNSSECが防げる攻撃

• DNSキャッシュポイズニング（偽のIPアドレスを返される攻撃）
• 中間者攻撃（MITM）（DNSリクエストを偽装される）

💡 DNSに電子署名を付けることで、データが改ざんされていないか確認できる！

📌 DNSとDNSSECの比較まとめ

✔ DNS → IPアドレスを取得するだけ（安全性なし）
✔ DNSSEC → データの正当性を保証し、安全なDNSを実現！
✔ DNSSECを導入すれば、「なりすまし・キャッシュポイズニング」を防げる！