見出し画像

【登録セキスペ】令和元年秋午後1問1の解説(情報処理安全確保支援士試験)

せんない

このNoteでは「セキスペ令和元年秋午後1問1」の解説をします。

来た!って感じの問題です。メールジャンルはセキスペでオーソドックスですから。これは絶対に狩らねばなりません。

SPF・DKIM・DMARCの3点セットで学べる充実の過去問です。それでいて初見でも高得点が取れる作問は見事。

セキスペでもSMTPコマンド、HTTPのステータスコードは必須です。ネスペでも必須の共通知識なので、必ず学習ノートに一覧表を書き出して下さい。


このNoteには、私がSCを97点で独学合格し、IT専門学校で授業した経験を詰め込みました。

一所懸命に作ったので、信頼して下さったら嬉しいです。

それでは始めましょう!


設問1 | SMTPコマンド

正答は「MAIL FROM」。

今回出たのでSMTPコマンドは覚えてください。ネスペでは必ず覚えるので、学習シナジーもあるので無駄にはなりません。

  • HELO(又はEHLO):SMTPサーバに接続開始するコマンド

  • MAIL FROM:送信者のメアドを送るコマンド

  • RCPT TO:相手のメアドを送るコマンド

  • DATA:メール本文を送るコマンド

  • QUIT:SMTPサーバから切断するコマンド

セキスペではSTARTTLSコマンドも。サーバ間の暗号化ができます。

>【セキスペ】メール送信のNote
>【セキスペ】メール受信のNote
>【ネスペ】メールのNote(コマンド含)



補強 | SPFを学校に例えると

SPFの仕組みは、メアドのドメインを見て、ドメインを管轄してるDNSサーバに「お宅のメールサーバのIPアドレスはこれであってる?」と確認します。

SPFを学校で例えると、企業さんが学生から手紙が届いたら、学校に「貴校にxxって学生さんはいますか?」と確認するようなもの。

メールを受信したサーバは、送信元IPアドレスと送信元メアドが書かれたメールを受信しています。

  1. N社のメアドは「xxx@n-sha.co.jp」のような形(2頁より)。

  2. メールサーバはn-sha.co.jpを管轄するDNSサーバ「N社の外部DNSサーバ」に「お宅のメールサーバのIPアドレス確認したいからSPFレコード見せて」と聞きます。

  3. N社DNSサーバは、SPFレコードを見せます。

  4. メールサーバは、SPFレコードに書かれたIPアドレスが、メールの送信元IPアドレスと一致すれば、「合ってるんだな」と判断します。



設問2(1) | 混乱を防いで解く

必ず正解してください。

項番4の攻撃1→攻撃2、項番6の攻撃1→攻撃2の順で交互に考えると、私は混乱します。攻撃1をまとめて、攻撃2をまとめて考えました。条件も指で隠すか、設定や実施を○×で書き込むと良いですね。


攻撃1へは、取引先メアドからのメールを検証するので、以下の状況でSPFは機能します。

  • N社メールサーバでの対応が、実施する

  • 取引先のDNSサーバでの設定が、設定済み

b, d, f, hについてみると、

  • 状況:N-DNS, 取引DNS

  • b:       実施する    , 未設定→×

  • d:       実施しない, 設定済→×

  • f:        実施しない, 未設定→×

  • h:       実施しない, 設定済→×


攻撃2へは、Nメアドからのメールを検証するので、以下の状況でSPFは機能します。

  • N社のDNSサーバでの設定が、設定済み

  • 取引先のメールサーバでの対応が、実施する

c, e, g, iについてみると、

  • 条項:N-DNS, 取引DNS

  • c:       設定済  , 実施しない→×

  • e:       設定済  , 実施しない→×

  • g:       設定済  , 実施する

  • i:        未定済  , 実施する→×


少しキビシイことを言います。

もし間違えたら、偶然ではなく「隙」です。絶対に修正。「今回だけ勘違いしたぁ」とスルーせず、表に書き込む・確認を複数回するなどの対策をしてください。また同じミスで失点するのはバカバカしいですよね。

スルーした場合、「いつまでも不合格になる学生さん」の特徴を持っていると思われます。今までに、うっかり致命的なミスをした経験がないか振り返って判断してくださいね。



設問2(2) | DNSレコードの書き方は必須

正答は「x1. y1. z1. 1」。

必ず正解してください。2頁図2より、外部メールサーバのグローバルIPアドレスです。

DNSレコードの具体的な書き方・名前解決の動きは必ず理解してください。セキスペ必須。>【セキスペ, ネスペ用】DNSレコードのNote

>【セキスペ, ネスペ用】DNSレコードのNoteより



設問2(3)

模範解答は「送信側のDNSサーバに設定されたIPアドレスとSMTP
接続元のIPアドレスが一致しないから」

メールサーバがSPF対応でみるのはEnvelope-FROMです。Envelope-FROMに書かれたメアドのドメインを見て、SPF問合せをするDNSサーバは決めます。

下線①手前「Envelope-FROMを変えずにメールをそのまま転送」すると、

  1. 送信元IPアドレスは転送したきたサーバ。

  2. Envelope-FROMメアドのドメインは転送前の状態。

  3. 転送前のメアドドメインのDNSサーバから入手してSPFには、転送したサーバとは違ったIPアドレスが書かれています。

  4. 送信元IPアドレスとSPF内のIPアドレスが一致しないため、否決。



補強 | エンベロープとヘッダ

2頁で少しでてきた2つの送信元メールアドレスについて。

メールの宛先情報は、「エンベロープ」「ヘッダ」の2つに記述されます。エンベロープを封筒、ヘッダを中身の便箋に例えるのが多いです。

  • Envelope-FROM:封筒の送信元メアド

  • Header-FROM:封筒の中の手紙の送信元メアド

Envelopeはサーバの転送などに使われ、私たちが直接目にはしません。私たちがメールソフトで見る送信元メアドは、Header-FROMの方。

Envelope-FROMとHeader-FROMが一致しなくてもメールは配送されます。BCCなど転送できるメリットがありますが、反面なりすまし・スパムメールもできるデメリットもあります。

送信元が自分・宛先も自分な迷惑メールを受信したことはないでしょうか。Header-FROMとHeader-TOを同じメアドにしてるんです。



設問2(4) | ディジタル署名といったら「2つ」

模範解答は「メール本文及びメールヘッダの改ざんの有無」

必ず正解してください。ディジタル署名で「送信元の正当性以外に確認できる」なんて、あからさまな聞き方。

ディジタル署名のご利益は2つ。

  • 改ざん検知
    ※改ざん箇所の特定や訂正はできない

  • 送信者の正当性確認
    なりすましではないと確認できる

Iパスレベルです。>【Iパス】ディジタル署名のNote


「改ざん検知」だけではキビシイかもですね。「メールが改ざんされたかどうか」でも、不正解かも。

設問文に「確認できる事項」と明確めに問うてます。下線②で「メール本文及びメールヘッダを基に生成したハッシュ値」など、具体的に書かれているので、解答も具体性が必要かなと。



設問3k, l

  • k:mail.x-sha.co.jp.

  • l:x2.y2.x2.1

kについて。もし返信があったら、N社メールサーバで受けるので。

lについて。相手メールサーバからDNSにメアドのドメイン(a-sub.n-sha.co.jp)の問い合わせがくるので、実際に送信するX社メールサーバ(x2 .y2. z2. 1)に合わせます。



設問3m, n | その場で理解する

  • m:quarantine

  • n:r

知らなくても必ず正解してください。その場で分かるように作問されているので。

方針は穴埋めm, nの表3の上。「検証に失敗したメールは隔離するポリシとする」。

pタグとaspfタグの仕様は、表2。

pのquarantineが「検証に失敗したメールは隔離する」

aspfは以下2通り。

  • r:ドメイン名の組織ドメインが一致

  • s:完全修飾ドメインが一致

要は部分一致か完全一致か。

ニュースレターのメアドのドメインは、サブドメイン「a-sub.n-sha.co.jp」を使います(6頁)。ドメインの一部が(組織ドメイン)が一致したら認証して欲しいですね。



設問4 | 攻撃手段に困ったらマルウェアにしちゃえ

模範解答は「N社の取引先と似たメールアドレスから送信ドメイン認証技術を利用してメールを送信する」。

特段下線やヒントが見当たらないので、かなり自由度の高い解答をして良いです。逆に「問題文のヒントを~」と考えて何も書けなくなるのが心配に。


模範解答に寄せて考えてみます。実はレベルの高いことは言ってません。

例えば、取引先の会社のドメインが「a-sha.co.jp」のとき、「a-sya.co.jp」で正規のシステムを構築すれば良いという話。

  1. 例えば取引先の会社のドメインが「a-sha.co.jp」のとき

  2. メールアドレスのドメイン「a-sya.co.jp」で準備

    1. a-syaドメインの権威DNSサーバにSPFレコードを準備

    2. a-syaドメインでディジタル署名を作成(電子証明書も認証局で取ってしまう)

    3. DKIMとHEADER-FROMも同じなのでDMARCもスルー

「なりすまし」を「完全ななりすまし」と考えちゃうので、難しいですよね。


手段を選ばないのなら「取引先PCを遠隔操作で乗っ取りメールを送信する」23文字。50文字よりかなり短いですが、本人の操作と同じことができれば良いですからね。

手段に困ったらマルウェアの所為にして良いですよ。

「~なマルウェアってあるのかなぁ」と思っても、きっと誰かが作ってますし、世の中全てのマルウェアを採点者が知るわけもありません。

採点者が「そんなマルウェアあるか知らないけど、プログラムに不可能ないし、あったら攻撃成立するよね」と思えば正解にします。問題文にヒントがなければ尚更。

空欄は失点確実ですし、「超能力で」なんてトンデモ解答よりは、あるかどうか分からんマルウェアの方が筋は良いですよね。

「取引会社の社員を洗脳してor賄賂を渡して~」よりはマルウェアが良いでしょう。賄賂だったら、私は正解にしそう。ただ設問に「なりすまし」と書かれているので、若干危ういかも。



まとめ


お疲れ様でした!


高得点を取れなかった方は、念入りに復習してください。

高得点を取れた方は更に学んで下さい。

この問題は臭いです。

その場で理解して解けたDMARCの「quarantine」は、次回から覚えていること前提で出てくるかもしれません。筆記はないかもですが、選択肢問題は充分ありえます。

表2DMARCは要注意です。「次はこんぐらい出すからな」とジャブに見えます。


ぜひ高得点が稼げるようになって、合格につなげてくださいね。それでは、他の解説でまたお会いしましょう。でわでわ。


\私の3ヶ月の学習履歴/



いいなと思ったら応援しよう!

せんない
学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ

この記事が参加している募集

#スキしてみて

582,874件