情報セキュリティ

基本情報技術者試験メールセキュリティ」の問題

情報セキュリティ情報セキュリティ難易度:hard
H社は自社ドメインを差出人に詐称したなりすましメールが取引先に送られる被害を受けている。受信側が、H社ドメインを名乗るメールの正当性を検証し、認証に失敗したメールの取扱い方針(拒否・隔離など)をH社の意向として表明できるようにしたい。H社が自社ドメインに導入・設定すべき仕組みとして、最も適切なものはどれか。
自社から送る全メールにS/MIMEの電子署名を付け、受信者が署名で差出人本人を確かめられるようにする。
自社のメールサーバへの不正中継を禁止し、第三者が自社サーバを経由して送信できないようにする。
取引先の受信側にスパムフィルタの強化を依頼し、不審なメールを受信箱から振り分けてもらう。
SPF・DKIMで送信元を検証可能にし、DMARCで認証失敗時の取扱い方針を公開して表明する。
正解
SPF・DKIMで送信元を検証可能にし、DMARCで認証失敗時の取扱い方針を公開して表明する。

要件は『H社ドメインを名乗るメールの正当性を受信側が検証でき、認証失敗時の取扱い方針をH社が表明する』ことである。SPF(送信元IPの正当性)とDKIM(電子署名による改ざん・送信元検証)で受信側がH社からの正規メールか検証できるようにし、DMARCでSPF/DKIM認証に失敗したメールを拒否・隔離するかの方針を公開して表明できる。要件に直接対応する送信ドメイン認証の仕組みである。

?選択肢ごとの解説

ア ×S/MIMEの署名は個々のメールの本人性・完全性を受信者が確認できるが、ドメイン所有者が認証失敗時の取扱い方針を受信側へ表明する仕組みではなく、未署名のなりすましを機械的に排除させられない。
イ ×自社サーバの不正中継対策は第三者による踏み台送信を防ぐが、攻撃者が自前のサーバで自社ドメインを騙る詐称は防げず、受信側での検証・方針表明も担えない。
ウ ×受信側のスパムフィルタ強化は相手任せの確率的な振り分けにとどまり、自社ドメインの正規性を検証させ失敗時方針を表明する仕組みにはならない。
エ ○要件は『H社ドメインを名乗るメールの正当性を受信側が検証でき、認証失敗時の取扱い方針をH社が表明する』ことである。SPF(送信元IPの正当性)とDKIM(電子署名による改ざん・送信元検証)で受信側がH社からの正規メールか検証できるようにし、DMARCでSPF/DKIM認証に失敗したメールを拒否・隔離するかの方針を公開して表明できる。要件に直接対応する送信ドメイン認証の仕組みである。

くわしく

送信ドメイン認証はSPF・DKIM・DMARCの三層で構成される。SPFは送信元IPを、DKIMは電子署名で送信ドメインと完全性を検証する。DMARCは両者の結果を踏まえ『なりすまし(認証失敗)メールをどう扱うか(none/quarantine/reject)』をドメイン所有者が宣言し、レポートも受け取れる。詐称対策には三者の組合せが要点である。

本番での押さえどころ

試験のコツ

『自社ドメイン詐称』『送信元の正当性検証』『認証失敗時の方針表明』が出たらSPF・DKIM・DMARC。DMARCが方針表明とレポートを担う点が決め手。

覚え方

SPF=差出人の住所確認、DKIM=封蝋(署名)、DMARC=偽物が来たらどう処理するかの指示書。三点セットでなりすまし対策。

よくある誤り

暗号化や個別署名(機密性・個別の本人性)とドメイン単位のなりすまし検証・方針表明を混同する。受信側にドメイン詐称を機械的に検証・拒否させる仕組みの必要性を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0188

【基本情報技術者試験】メールセキュリティの問題 — 解答・解説|ukamiru 過去問