応用情報技術者試験(AP)や、さらに上位の高度試験(支援士、ネスペなど)の午後試験に挑む際、テキストやシラバスで見たこともない「初見の用語」に遭遇して焦った経験はありませんか?
例えば、令和3年春の午後問1(情報セキュリティ)では、シラバスに直接的な記載がない「EV証明書」や「WebSocket」といった周辺知識が登場し、受験生の間で「範囲外ではないか」と話題になりました。
しかし、試験作成者は「知らない用語があっても、問題文のロジックを読めばその場で解ける」ように罠と救済ルートを配置しています。
本記事では、この令和3年春の午後問1(DNS脆弱性とデジタル証明書のインシデント)を題材に、試験合格に必要なコア知識と、未知の用語から正解をもぎ取るための「問題文ヒント抽出テクニック」を網羅的に解説します。
🧭 今回の題材:令和3年春 午後問1のインシデント概要
この大問は、サービスプロバイダX社において、自社の権威DNSサーバーの脆弱性を突かれて設定ファイルが改ざんされ、顧客が偽サイトに誘導されてしまったセキュリティインシデントを扱っています。
この問題を解く、あるいは復習する上で絶対に外せない重要な知識を整理していきます。
1. 🏢 DNSサーバーにおける2つの役割
DNSのインシデントを読み解くには、役割の異なる2種類のサーバーを正確に識別できなければなりません。
🔹 権威DNSサーバー(DNSコンテンツサーバー)
-
役割: 自身が管理するドメイン(例:
example.com)の「ドメイン名とIPアドレスの対応表(ゾーンファイル)」を保持し、外部からの問い合わせに確定的な正しい答えを返す。 -
試験での状況: 攻撃者に管理者権限を奪われ、設定(ゾーンファイル)を直接書き換えられた大元のサーバー。
bindなどのDNSソフトウェアの古いバージョンを放置していた脆弱性が原因となりました。
🔹 キャッシュDNSサーバー(DNSフルリゾルバ)
- 役割: クライアント(PCなど)に代わってインターネット上の権威DNSサーバーを巡り、名前解決を行う。効率化のため、一度調べた結果を一定期間キャッシュ(一時保存)する。
- 試験での状況: 汚染された(書き換えられた)偽の情報を権威サーバーから受け取り、それをキャッシュに保存してしまった。結果として、しばらくの間、無関係な一般ユーザーを偽サイトに誘導し続ける二次被害の原因となりました。
2. 🔄 DNSの「正引き」「逆引き」とアクセス元検証
DNSのレコード設定に関する知識は、ログ解析やアクセス元検証の設問でダイレクトに問われます。
- 正引き(Aレコード): ドメイン名(URLなど)からIPアドレスを導き出す、通常のWebブラウジングで使用される仕組み。
- 逆引き(PTRレコード): IPアドレスからドメイン名(ホスト名)を導き出す仕組み。
💡 試験での具体的な活用
不審なアクセス元のIPアドレスを逆引き(PTRレコード)し、そこから得られたホスト名をさらに正引きして元のIPアドレスと一致するかを検証する(フォワードマッピング確認)。このステップを踏むことで、通信元の偽装や怪しいサーバーを特定するロジックが試されました。
3. ⚔️ DNSを標的にしたサイバー攻撃手法
周辺知識として、以下の代表的な攻撃の定義と違いを区別しておきましょう。
⚠️ DNSキャッシュポイズニング
- 概要: キャッシュDNSサーバーに偽の名前解決情報を注入し、嘘のキャッシュを植え付けることで、ユーザーを偽サイトへ誘導する攻撃。
- 試験での位置づけ: 今回のケースでは「権威サーバーの設定書き換え」が根本原因ですが、それによって結果的に引き起こされた「他社のキャッシュサーバーに偽情報が蓄積された状態」を指すキーワードとしてリンクします。
⚠️ DDoS攻撃(分散サービス妨害攻撃)
- 概要: 複数の踏み台マシンから標的のサーバーへ一斉に大量のアクセスを送り、サービスを停止に追い込む攻撃。
- 試験での位置づけ: 今回の直接原因ではありませんが、DNSサーバーを悪用した「DNSアンプ(増幅)攻撃」など、他のDNS関連問題やダミー選択肢との区別として重要です。
4. 📜 デジタル証明書(DV・OV・EV)の認証レベルの違い
Webサイトの信頼性を証明する「SSL/TLS証明書」の厳格さの違いが、設問の大きな山場となりました。
| 証明書の種類 | 認証の厳格さ | 特徴と試験での位置づけ・使用状況 |
|---|---|---|
|
DV証明書 (ドメイン認証) |
❌ 低い | ドメインの所有権のみを機械的に確認して発行されるため、個人(悪意ある攻撃者)でも即座に取得可能。本問の攻撃者も、偽サイト用にこの証明書を悪用したため、ブラウザに鍵マークが表示され、ユーザーが騙される原因に。 |
|
OV証明書 (企業実在認証) |
🟢 高い | 発行時に「会社名(組織名)」や法的な実在性を厳格に審査される。 |
|
EV証明書 (実在確認拡張) |
🔥 最高 | OVよりもさらに厳格な審査を経て発行される最高ランクの証明書。 |
💡 なぜ「EV証明書」の知識が問われたのか?
EVやOV証明書であれば、証明書内に厳格に審査された「組織名(Organization)」が埋め込まれます。ユーザー側が証明書内の組織名を確認すれば、接続先が「X社」ではなく「無関係な別組織(または空欄)」であるため、偽サイトだと見抜くことが可能でした。
🧠 午後試験をハックする!「初見ワード」からヒントを抽出する4つの読解テク
シラバスに載っていない用語が出たからといって、不適切な悪問というわけではありません。模擬試験とは異なり、本試験の午後問題は 「現場での仕様書読解力(アナリシス能力)」 を試しています。
以下の4つのテクニックを使えば、知識がなくても問題文から答えを抽出できます。
⚡ テクニック1:直前の「定義文」と「言い換え」をマークする
初見のキーワードが登場したとき、その直前・直後の1〜2文に必ず「国語的な説明」が隠されています。
- 注目すべき表現: 「〜とは、…のことである」「具体的には、〜」「すなわち、〜」
-
コツ: 意味が分からなくても、その用語を「記号(例:
[X])」に置き換えます。[X]は通信を暗号化する技術であるとあれば、細かい仕様は知らなくても、手持ちの「SSL/TLS」などの知識とグルーピングして読み進められます。
⚡ テクニック2:「主語」と「目的・効果」を紐解く
新技術や初見の用語は、単体で存在していません。「何のために導入したのか」という因果関係に注目します。
-
抽出する要素: 「〜の課題を解決するために、
[X]を導入した」「[X]によって、〜の処理が自動化された」 - コツ: 記述式の答えは、この「目的」や「効果」の文章のなかにそのまま転がっています。独自の想像ではなく、「問題文の会社が困っていることの裏返し」をヒントにして解答を組み立てます。
⚡ テクニック3:「図表の注釈」と「システム構成図」をリンクさせる
受験生が最も見落としがちなのが、システム構成図の「下」や、表の「枠外」にある小さな注釈(※1、※2)です。
-
コツ: 本文で「
[X]を用いて〜」とサラッと書かれている場合、注釈に※1:[X]は、特定のIPアドレスからの通信のみを通す機能などと、答えそのものが載っていることが多々あります。設問で行き詰まったら、図表の隅々まで目を走らせてください。
⚡ テクニック4:「従来方式との対比(差分)」に注目する
午後問題のストーリーは、大半が「今までのやり方(従来)ではダメだから、新しいやり方(新規)に変える」という構成です。
- 着眼点: 「従来方式の弱点は何か?」
- コツ: 従来が「手動で設定していた」なら、初見の技術は「自動で設定する」もの。従来が「単一の鍵で暗号化していた」なら、初見の技術は「セッションごとに鍵を変える」もの。知識がなくても、従来との「差分」を抜き出すだけで、正解の核となるキーワードに辿り着けます。
🛠️ 記事の振り返り:重要キーワード一言解説
- DNS: ドメイン名とIPアドレスを相互変換するインターネットの基盤システム。
- ゾーンファイル: 権威DNSサーバーが持つ、ドメイン名とIPアドレスの具体的な対応表。
- フォワードマッピング確認: 逆引きで得たホスト名を再度正引きし、IPアドレスの不一致から偽装を見抜く検証。
- 脆弱性: ソフトウェアのバグや設計上のセキュリティ的な欠陥。
- WebSocket: シラバスの「アプリケーション層」の発展形。Webで低遅延な双方向通信を行うためのプロトコル。
- シラバス: 試験の出題範囲や学習指針がまとめられた公式の設計書。
🏁 まとめ:午後試験における最強のマインドセット
高度試験になればなるほど、「知識だけで解かせない問題(その場で仕様書を読ませる問題)」の比率が増えます。
初見の用語に出会ったときは、焦るのではなく、むしろ 「ラッキー、知識が要らない国語の問題だ。この文章の中に必ず答えのパーツが落ちているぞ」 とニヤリとするくらいのマインドを持つことが、合格への一番の近道です。
過去問を復習する際は、単に答えを覚えるのではなく、「もしこの用語を知らなかったとしたら、文中のどこをヒントにすれば解けただろう?」という視点でプロセスを紐解いてみてください!
🔗 参考サイト・関連リンク
本記事の執筆にあたり、および令和3年春 午後問1の復習に大変役立つ情報を掲載しているサイト一覧です。さらに深く学習したい方は、ぜひ以下のリンクを参考にしてください。
-
サイエンスサーチコンソール|応用情報技術者 令和3年春 午後問1「DNS脆弱性とデジタル証明書」徹底解説
- 本記事のベースとなった詳細なインシデント解説記事です。DNSの挙動と証明書の仕組みが分かりやすくビジュアル化されています。
-
応用情報技術者試験ドットコム|令和3年春季 午後問1 設問解説
- 過去問道場でおなじみのサイト。問題文の全文、公式解答、および各設問の極めて詳細な解法プロセスが網羅されています。
-
応用情報技術者試験ドットコム 掲示板|「EV証明書はシラバス範囲外?」に関する議論
- 本試験直後に受験生の間で交わされた、出題傾向や難易度(シラバス範囲外ではないかという疑問)に関するリアルな意見交換のログです。午後試験に対するマインドセットを掴む参考になります。