【SC*過去問解説】令和元年度 秋期 午後Ⅰ 問1

IT

こんにちは、mokakoです。
今回は情報処理安全確保支援士試験の令和元年度 秋期 午後Ⅰ 問1を解説していきたいと思います!

※この解説ブログでは、あくまでも私自身が解いた備忘録となりますので、間違いなどを発見された場合はどうぞ教えていただけますと幸いです。

下記より問題文と解答を引用しております。

問題
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm1_qs.pdf
解答
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm1_ans.pdf

出典:令和元年度 秋期 情報処理安全確保支援士試験 午後Ⅰ 問1


では早速解説してまいります!

設問1


(1)a. MAIL FROM

解説
これは知識問題で、問われることがあるので覚えておきましょう。エンベロープの送信者メールアドレスは、送信側から受信側へ MAIL FROMコマンド<メールアドレス> を送って指定します。

設問2


(1)b. × c. × d. × e. × f. × g. ○ h. × i. ×

解説
答えるものが多く、混乱してしまいそうですが順番に整理していきます。
まず、表1のSPFへの対応状況ですが、

(ⅰ)DNSサーバでの設定→送信元として正当性の問い合わせを受けたときに返せるよう、あらかじめ、SPFレコードを設定しておきます。
(ⅱ)メールサーバでの対応→メールを受け取った際、送信元のDNSサーバに問い合わせを行うことで、送信元ドメイン認証を実現します。

次にどのような場合に、攻撃1と攻撃2が達成できないかを整理します。
まず、攻撃1については、取引先を装った攻撃者→N社です。そのため、N社のメールサーバが取引先のDNSサーバに問い合わせ、取引先のDNSサーバがSPFレコードを返すことができればドメイン認証が実現し、詐称を見抜くことができます。つまり、N社で(ⅱ)が、取引先で(ⅰ)が実施されていればよいのです。
表1に対応づけると、攻撃1に対する効果が○になるのは外部メールサーバでの対応が実施されていて、かつ取引先のDNSサーバで設定済みになっている場合です。したがってb,d,f,hはすべて×となります。

攻撃2については、N社を装った攻撃者→取引先です。そのため、先ほどとは逆で取引先のメールサーバがN社のDNSサーバに問い合わせ、N社のDNSサーバがSPFレコードを返すことができればドメイン認証が実現し、詐称を見抜くことができます。つまり、取引先で(ⅱ)が、N社で(ⅰ)が実施されていればよいのです。
表1に対応づけると、攻撃2に対する効果が○となるのは外部DNSサーバで設定済み、かつ取引先のメールサーバでの対応が実施済みになっている場合です。したがってgのみ○、c,e,iは×になります。

(2)j. x1.y1.z1.1

解説
TXTレコードの穴埋めは意外と問題で問われることが多いので覚えておきましょう。今回の問題の例で記述すると下記のような形になります。

n.sha.co.jp IN TXT ”v=spf1 + ip4:x1.y1.z1.1 -all”

詳細については以下の通りです。
n.sha.co.jp. →ドメイン
v=spf1.0   →SPFのバージョンが1.0
+ip4:x1.y1.z1.1→IPv4がx1.y1.z1.1のとき、正常のメール
-all      →(それ以外)全て不正メール

今回問われているのは、N社のSPFレコードなので、IPアドレスはx1.y1.z1.1となります。

(3)送信側のDNSサーバに設定されたIPアドレスとSMTP接続元のIPアドレスが一致しないから

解説
SPFを簡単に現実世界に対応させると、(ⅰ)送信してきた(通信してきた)人の情報と、(ⅱ)封筒に書かれた情報を元に問い合わせて帰ってきた送信者の情報が一致するかを見ています。
例えばA社(送信者)→B社(別のメールサーバ)→N社(受信者)というように第三者が中継して転送している場合を考えます。

(ⅰ)は、Envelope-FROMから送信元にSPFレコードを問い合わせて取得します。A社からB社に送られてきた時点で、EnvelopeS-FROMはA社の情報です。問題文にEnvelope-FROMを変えずにと書いてあるので、B社はEnvelope-FROMをA社にしたまま、N社に転送します。そのため、ここではA社になります。
(ⅱ)は、SMTP通信元なので、ここではB社です。
したがって、(ⅰ)と(ⅱ)が異なるため、SPF認証は失敗してしまうのです。

(4)メール本文及びメールヘッダの改ざんの有無

解説
お馴染みですが、ディジタル署名の仕組みを利用すると、公開鍵によりディジタル署名を復号したものと、元データをハッシュ化したものを比較し、なりすましの他に改ざんされていないかどうかを検証することができます。

設問3


(1)k. mail.x-sha.co.jp
  l. x2.y2.z2.1
 m. quarantine
 n. r

解説
kとlはDNSに設定するレコードの穴埋めです。
まずkですが、MXレコードはメールサーバのホスト名を記述します。ニュースレターはX社のメールサーバから配信されるので、kはp6の[ニュースレターの配信]内の記述にある、X社のメールサーバのホスト名になります。
lは設問2(2)でも解説したようにIPアドレスが入るので、X社のメールサーバのIPアドレスが入ることが分かります。

mとnは問題文と表2を参照すればすぐに分かります。
まずmですが、タグpの値を当てはめます。注目すべき記述は表3のすぐ上の検証に失敗したメールは隔離するポリシとするためという文です。表2より隔離するにはquarantineを指定すればよいことが分かります。
nについてはp6の[ニュースレターの配信]内の記述に注目しましょう。Header-FROMにはN社ドメイン名のメールアドレス、Envelope-FROMにはN社サブドメイン名のメールアドレスを設定とあります。タグaspfの値としては組織ドメインが一致していればOKか完全修飾ドメイン名が一致していればOKのどちらかです。今回は、ドメイン名とサブドメイン名を一致と判断しなくてはならないので、組織ドメインが一致していればOKのrを指定します。

設問4


N社の取引先と似たメールアドレスから送信ドメイン認証技術を利用してメールを送信する。

解説
SPF、DKIM及びDMARC、これらの技術を駆使しても不正を防ぐことができない場合を考えます。これまで送信者になりすましてメールを送信しても送信ドメイン認証ができず、失敗していました。

しかし、攻撃者が取引先のものではなく、自分のメールアドレス、メールサーバ、DNSサーバを用意しSPF、DKIM及びDMARCに対応させた場合、認証は通ってしまいます。しかも取引先のメールアドレスに似せたものを用意すれば、受け取ったN社の従業員がなんの違和感もなくそのメールを開いてしまいます。実は取引先とは違うメールアドレスで、N社がそれを取引先と勘違いしてくれれば、攻撃側は万々歳なのです。

したがって、正規のメールアドレスを装い、かつ気づかれないような工夫を行うことを併せた答えられればOKです。

コメント