情報処理安全確保支援士2019年(令和元年)秋午後1問1(3,690 文字)

問題冊子、解答例、採点講評はこれ
またIPAがリダイレクト設定せずにURL変えたりしなければつながるはずです

本文(設問1)

本文要約(設問1)

① N社の情報システム構成は図1の通り。各PC及びサーバは脆弱性修正プログラムが自動適用され、導入済マルウェア対策ソフトのマルウェア定義ファイルも自動でアプデされる。外部メールサーバではスパムメールフィルタ機能を利用している。
② N社ドメイン名はn-sha.co.jpで、メアドのドメイン名にも使用している。外部DNSサーバはメールに関して図2のように設定。
③ 送信者のメアドにはSMTPの[a]コマンドで指定されるエンベロープの送信者メアド(Envelope-FROM)とメールデータ内のメールヘッダで指定される送信者メアド(Header-FROM)があり、配送エラーの場合はEnvelope-FROMのメアドに通知メールが届く。N社では従業員がPCからメールを送信するときはEnvelope-FROMもHeader-FROMも自身のメアドである。
④ 最近はなりすましが流行なので送信ドメイン認証技術利用を検討する。

問題文(設問1)

解説(設問1)

知識。メール送信者を指定するのはMAIL FROMです。ほかのSMTPコマンドは一番下の参考サイトからどうぞ
答え MAIL FROM

本文(設問2)

本文要約(設問2)

① N社の外部メールサーバにはSPF, DKIM, DMARCのいずれも使用可能である。
② 以下の攻撃について送信ドメイン認証が有効かを検討する。
攻撃1 : N社の取引先メアドを送信者として設定し、攻撃者のメールサーバからN社に送信する
攻撃2 : N社のメアドを送信者として設定し、攻撃者のメールサーバからN社の取引先に送信する
③ SPFを用いた場合の有効性は表1の通り。
④ SPF対応のためにはまず外部DNSサーバに n-sha.co.jp. IN TXT "v=spfl +ip4:[j] -all"のTXTレコードを登録、外部メールサーバの設定を変えてSPF認証が失敗したメールは[NonSPF]などの注意を促す文字列を付加する。
⑤ メール送信側のDNSサーバと受信側のメールサーバの両方がSPFに対応していても、その間でSPF対応している別のメールサーバがEnvelope-FROMを変えずにそのままメールを転送すると、受信側のメールサーバでSPF認証が失敗する。
⑥ DKIMの場合は鍵ペアを作成し、公開鍵を外部DNSサーバに登録する。外部メールサーバの設定も変更する。DKIM利用シーケンスは図5,6の通り
⑦ DKIMはメール本文とヘッダを基にディジタル署名を付与するので、転送メールサーバがディジタル署名とその元のメールデータを変更しない限り転送されても検証ができる。また、SPFと併用できる。
⑧ DMARCはメール受信側のSPFとDKIMの検証、検証したメールの取扱、集計レポートについてのポリシを送信側が表明する方法で、DNSサーバにTXTレコードを追加することで実装する。DMARCのタグは表2の通り。
⑨ N社ではSPF, DKIM, DMARCの全てを利用することにする。

問題文(設問2)

解説(設問2)

(1)はSPFについての穴埋め。攻撃は以下の通り
攻撃1 : N社の取引先メアドを送信者として設定し、攻撃者のメールサーバからN社に送信する
攻撃2 : N社のメアドを送信者として設定し、攻撃者のメールサーバからN社の取引先に送信する
項番4はN社は設定したけど取引先は設定なしのパターン。N社がメールをもらってSPFレコードを問い合わせても何も登録されてないので確認はできないし、取引先はSPFの問い合わせすらしないのでN社からのメールかどうかを確かめる手段がありません。よって両方×(b,c)
項番6はN社も取引先も問い合わせられたら返せるが自分から問い合わせはしないパターン。受け取った側が問い合わせをしないので偽装に気づきません。よって両方×(d,e)
項番7はN社は問い合わせられたら返す、取引先は問い合わせはするパターン。N社は受けても何もしないので×(f)、取引先は問い合わせをするし、N社はそれに返すので確認ができるので〇(g)
項番13はN社は何もしないが取引先は完璧なパターン。項番4の立場が逆なだけなので両方×です(h,i)
答え b : ×, c : ×, d : ×, e : ×, f : ×, g : 〇, h : ×, i : ×

(2)はTXTレコードについて。ここにはIPアドレスを入れるのですが、今まででx1.y1.z1.1(図2)以外のIPアドレスが出てきてないような…
答え x1.y1.z1.1
(3)は送受信者のDNS、メールサーバがSPFに対応していても、SPF対応の別メールサーバがEnvelope-FROMを変えずに転送したら受信側でSPF認証が失敗するのはなぜか。SPFにおいて確認するのはIPアドレスです。そして何のIPアドレスを見て判断するのかというと、送信側のDNSの設定と実際にSMTPで接続した相手のIPアドレスです。つまり、そのまま転送されると送信側DNS設定と転送サーバの2つを比較することになり、認証が失敗します。
答え 送信側のDNSサーバに設定されたIPアドレスとSMTP接続元のIPアドレスが一致しないから

(4)はDKIMにおいてメールの送信元の正当性以外に何を確認できるのか。DKIMといえばディジタル署名、ディジタル署名と言えば改ざんの有無です
特に今回はメール本文とヘッダを基にディジタル署名を付与するって⑦に書いてあります。
答え メール本文及びメールヘッダの改ざんの有無

本文(設問3)

本文要約(設問3)

① N社から取引先宛にニュースレターを配信することにする。配信にはX社のクラウド型メール配信サービス(X配信サービス)を利用する。ニュースレターはX社メールサーバから配信され、配送エラーの通知メールもX社メールサーバに届く。
② Header-FROMはN社ドメインのn-sha.co.jpのメールアドレスを設定、Envelope-FROMはN社サブドメインのa-sub.n-sha.co.jpのメールアドレスを設定する。X社メールサーバのホスト名はmail-x-sha.co.jpでグローバルIPはx2.y2.z2.1でDNSサーバのグローバルIPはx2.y2.x2.2である。X配信サービスではSPF, DKIM, DMARCのいずれも利用可能。
③ ニュースレター配信でも3つの送信ドメイン認証技術を利用する。N社外部DNSサーバの追加レコードは図7の通り
④ 受信側で検証に失敗したメールは隔離するポリシとするためDMARCのpタグ、aspfタグは表3の通り。

問題文(設問3)

解説(設問3)

レコードと初登場のDMARCについて。まずはレコード側で、IN TXTに登録するのはメールサーバのIPアドレスなのでx2.y2.z2.1です。IN MXはメールを送るためにはどこに送ればいいのかを登録します。今回はa-sub.n-sha.co.jpのメールサーバがmail-x-sha.co.jpなので、これを記載します。
DMARCについて私たち受験者は当然なじみがないので表2に説明がありますね。pについては検証失敗メールは隔離(④)なのでquarantine
aspfについてはrなら組織ドメイン、sなら完全修飾ドメイン名=FQDNを比較する者です。Header-FROMはn-sha.co.jpでEnvelope-FROMはa-sub.n-sha.co.jpなので組織ドメインのみの一致でrです。
答え k : mail-x-sha.co.jp, l : x2.y2.z2.1, m : quarantine, n : r

問題文(設問4)

解説(設問4)

珍しく下線も何もない問題。正答率は低いらしい
これらの認証は要は矛盾を検出するものです。例えばN社からのメールとなっているのにIPアドレスが違うとかそういう話を見つけるものです。
なので逆に言うと正規のドメインできちんと(2)のように設定しておけばこれらの技術での検出はされません。ただ、正規のドメインで全く違う名前だとなりすましになりませんので、N社取引先と似たメアドで、諸々の設定をしてメールを送ればよいとなります。
答え N社の取引先と似たメールアドレスから送信ドメイン認証技術を利用してメールを送信する。

終わりに

途中を除けばかなり難しい気がしました

主な参考サイト

SMTP コマンド
SPF(Sender Policy Framework)
DNSサーバのMXレコード・TXTレコード、DMARCのタグ設定【情報処理安全確保支援士試験 令和元年度 秋期 午後1 問1 設問3】
送信ドメイン認証技術で防御不可となるなりすましメールの方法【情報処理安全確保支援士試験 令和元年度 秋期 午後1 問1 設問4】