基本情報技術者試験「メールセキュリティ」の問題
H社は自社ドメインを差出人に詐称したなりすましメールが取引先に送られる被害を受けている。受信側が、H社ドメインを名乗るメールの正当性を検証し、認証に失敗したメールの取扱い方針(拒否・隔離など)をH社の意向として表明できるようにしたい。H社が自社ドメインに導入・設定すべき仕組みとして、最も適切なものはどれか。
ア自社から送る全メールにS/MIMEの電子署名を付け、受信者が署名で差出人本人を確かめられるようにする。
イ自社のメールサーバへの不正中継を禁止し、第三者が自社サーバを経由して送信できないようにする。
ウ取引先の受信側にスパムフィルタの強化を依頼し、不審なメールを受信箱から振り分けてもらう。
エSPF・DKIMで送信元を検証可能にし、DMARCで認証失敗時の取扱い方針を公開して表明する。
正解
エ.SPF・DKIMで送信元を検証可能にし、DMARCで認証失敗時の取扱い方針を公開して表明する。
要件は『H社ドメインを名乗るメールの正当性を受信側が検証でき、認証失敗時の取扱い方針をH社が表明する』ことである。SPF(送信元IPの正当性)とDKIM(電子署名による改ざん・送信元検証)で受信側がH社からの正規メールか検証できるようにし、DMARCでSPF/DKIM認証に失敗したメールを拒否・隔離するかの方針を公開して表明できる。要件に直接対応する送信ドメイン認証の仕組みである。
?選択肢ごとの解説
ア ×S/MIMEの署名は個々のメールの本人性・完全性を受信者が確認できるが、ドメイン所有者が認証失敗時の取扱い方針を受信側へ表明する仕組みではなく、未署名のなりすましを機械的に排除させられない。
イ ×自社サーバの不正中継対策は第三者による踏み台送信を防ぐが、攻撃者が自前のサーバで自社ドメインを騙る詐称は防げず、受信側での検証・方針表明も担えない。
ウ ×受信側のスパムフィルタ強化は相手任せの確率的な振り分けにとどまり、自社ドメインの正規性を検証させ失敗時方針を表明する仕組みにはならない。
エ ○要件は『H社ドメインを名乗るメールの正当性を受信側が検証でき、認証失敗時の取扱い方針をH社が表明する』ことである。SPF(送信元IPの正当性)とDKIM(電子署名による改ざん・送信元検証)で受信側がH社からの正規メールか検証できるようにし、DMARCでSPF/DKIM認証に失敗したメールを拒否・隔離するかの方針を公開して表明できる。要件に直接対応する送信ドメイン認証の仕組みである。
✎くわしく
送信ドメイン認証はSPF・DKIM・DMARCの三層で構成される。SPFは送信元IPを、DKIMは電子署名で送信ドメインと完全性を検証する。DMARCは両者の結果を踏まえ『なりすまし(認証失敗)メールをどう扱うか(none/quarantine/reject)』をドメイン所有者が宣言し、レポートも受け取れる。詐称対策には三者の組合せが要点である。
✓本番での押さえどころ
試験のコツ
『自社ドメイン詐称』『送信元の正当性検証』『認証失敗時の方針表明』が出たらSPF・DKIM・DMARC。DMARCが方針表明とレポートを担う点が決め手。
覚え方
SPF=差出人の住所確認、DKIM=封蝋(署名)、DMARC=偽物が来たらどう処理するかの指示書。三点セットでなりすまし対策。
よくある誤り
暗号化や個別署名(機密性・個別の本人性)とドメイン単位のなりすまし検証・方針表明を混同する。受信側にドメイン詐称を機械的に検証・拒否させる仕組みの必要性を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0188