3級 — 中級 — VPN検定

1

DNS ベースの検閲はどのような仕組みで機能しますか？

ISP のDNSサーバーが特定のドメイン名を別のIPアドレスに解決する VPN プロトコル自体を暗号化して通信をブロックするユーザーのIPアドレスをファイアウォールで直接遮断する HTTPSハンドシェイク中にSNIを読み取って接続を切る

2

IP ベースのブロッキングが巻き添え被害（collateral damage）を引き起こす主な理由は何ですか？

複数のウェブサイトが同じIPアドレスを共有している場合があるファイアウォールルールが古くなって無効になるため DNSサーバーがIPアドレスをランダムに変更するため TLS 1.3 で暗号化されるため識別が不可能になるため

3

SNI（Server Name Indication）が HTTPS でも宛先ドメインをリークする理由は何ですか？

SNIはTLSハンドシェイク時に平文で送信される HTTPS暗号化がSNIフィールドを保護しないためブラウザがHost ヘッダーを暗号化前に送信するため IPアドレスから自動的にドメイン名が特定されるため

4

ECH（Encrypted Client Hello）が解決する主な問題は何ですか？

SNI リークによる宛先ドメインの露出 DHE暗号化後の鍵交換の脆弱性 IPアドレスブロッキングの効果を減らす BGP ハイジャックによる経路変更

5

ジオブロッキング（地域制限）は技術的にはどのレベルで実装されることが多いですか？

ユーザーのIPアドレスをIP地理情報データベースで照合する DNSサーバーの物理的な場所で判定するユーザーのGPS座標を検出して判定する HTTPヘッダーのLocation フィールドを読み取って判定する

6

CDN（Content Delivery Network）が IP ブロッキングを信頼性の低いものにする理由は何ですか？

CDNが多数の異なるIPアドレスを動的に使用するため CDNサーバーが常にHTTP/2を使用するため CDNキャッシュが暗号化されているため CDNがSNIを二重暗号化するため

7

透過型プロキシ（transparent proxy）の特徴として正しいものはどれですか？

クライアント設定なしに自動的にトラフィックを仲介するすべての通信をVPN経由で暗号化するユーザーが手動でプロキシのIPとポートを設定する必要がある HTTPSのみを対象とし、HTTPは傍受できない

8

BGP（Border Gateway Protocol）レベルの介入が経路制御に与える影響は何ですか？

インターネット上の全経路を変更または遮断できるエンドポイント間のTLS接続を直接復号化できる特定のポート番号のみをブロックできるユーザーのDNS照合結果を改ざんできる

9

VPN とTor ネットワークの信頼モデルの主な違いは何ですか？

VPN プロバイダは単一の信頼できる第三者；Torは複数ノードの不信を前提とする Tor はすべてのノードがユーザー自身の信頼できる機器である VPN は匿名性を提供せず、Tor は暗号化を提供しない両者とも単一のサーバーを通じてトラフィックを処理する

10

Tor ネットワークにおけるエグジットノード（exit node）の役割は何ですか？

最終的な宛先サーバーへの接続を行い、平文トラフィックを外部に送信するユーザーとTor ネットワークの間の暗号化を担当する Tor ネットワーク内の中継ポイントとして完全に匿名性を保つユーザーのIPアドレスを隠蔽するために暗号化キーを生成する

11

トラフィック相関攻撃（traffic correlation attack）の概念として正しいのはどれですか？

入り口と出口のトラフィックパターンを比較して、ユーザーと接続先を関連付ける複数のIPアドレスを同時にブロックすることで全トラフィックを遮断する DNSクエリとHTTP応答の時間差から接続先を特定するエンドツーエンド暗号化を破るために公開鍵を推測する

12

VPN over Tor と Tor over VPN の根本的な違いは何ですか？

前者はISPに接続先が見える；後者はVPNプロバイダがTor利用を知らない前者は完全に暗号化される；後者は暗号化されない前者はTorより高速；後者はTorより遅い前者はIPリークが発生；後者は発生しない

13

VPN クライアントの kill switch 機能は何から保護しますか？

VPN接続が切れた際のIPアドレスやDNSクエリの露出ファイアウォールを回避したマルウェア活動 VPNサーバー自体の暗号化を復号化する攻撃 BGPハイジャックによるトラフィック傍受

14

完全前方秘匿性（perfect forward secrecy）が VPN セッションに提供するのは何ですか？

セッションキーが漏洩しても、過去の通信内容は復号化できない保証 VPN プロバイダの秘密鍵が漏洩しても接続は継続できるユーザーのパスワードハッシュが保護される IPアドレスが将来のセッションで使用されない

15

VPN が有効な状態でも DNS リークが発生する主な原因は何ですか？

アプリケーションやOSがVPN設定を無視して別のDNSサーバーを使用する VPN プロトコルがDNSクエリを暗号化しない仕様であるファイアウォールがDNSポート 53を常に開く設定である DNSレコード自体が平文で保存されているため

16

WebRTC リークとは何であり、どのように防ぐべきですか？

WebRTCが VPN 外の実際のIPアドレスを露出させるため、ブラウザ設定で無効化する WebRTC 暗号化が破られるため、HTTPS を使用する WebRTC がVPN 帯域幅を消費するため、VPN を再接続する WebRTC がDNS クエリをブロードキャストするため、ファイアウォール設定を変更する

17

対称暗号と非対称暗号の最も本質的な違いは何ですか？

対称暗号は同じ鍵で暗号化と復号化を行い、非対称暗号は異なる鍵を使用する対称暗号はインターネット通信に安全でなく、非対称暗号のみが安全である非対称暗号は署名検証ができず、対称暗号は検証できる対称暗号は物理的に転送される必要があり、非対称暗号は不要である

18

デジタル証明書が証明するものと証明しないものの組み合わせとして正しいのはどれですか？

公開鍵の所有者が主張される組織であることを証明；その組織の信頼性は証明しない Webサイトの内容が改ざんされていないことを証明；通信が暗号化されていることは証明しない VPN接続が安全であることを証明；プロバイダの行動が不正でないことは証明しないユーザーの身元を証明；サーバーの物理的な場所は証明しない

19

Certificate Transparency（CT）ログの役割として正しいのはどれですか？

発行されたすべてのデジタル証明書を公開記録に登録し、不正な証明書を検出可能にするユーザーの HTTPS 通信内容を暗号化する認証局の秘密鍵を安全に保管する期限切れの証明書を自動的に更新する

20

VPN セッションにおける完全前方秘匿性セッション鍵が提供する最大の利点は何ですか？

VPN プロバイダの長期秘密鍵が将来漏洩しても、過去の通信は保護されたままであるユーザーのパスワードが強度を問わず安全になる ISPがDNSクエリを傍受できなくなる VPN接続の速度が向上する