送信ドメイン認証技術で防御不可となるなりすましメールの方法【情報処理安全確保支援士試験 令和元年度 秋期 午後1 問1 設問4】
情報処理安全確保支援士試験 令和元年度 秋期 午後1 問1 設問4
【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後1 問1(一部、加工あり)】
攻撃者がどのようにN社の取引先になりすましてN社にメールを送信すると、N社がSPF、DKIM及びDMARCでは防ぐことができなくなるのか。その方法を50字以内で具体的に述べよ。:N社の取引先と似たメールアドレスから送信ドメイン認証技術を利用してメールを送信する。
SPF、DKIM及びDMARCによる送信ドメイン認証技術は、なりすましメールによる攻撃への対策です。
送信者メールアドレスを詐称することで取引先になりすましますが、具体的にはHeader-FROMを詐称します。
これを受信したメールサーバは、受信メールから得られた情報と、Envelope-FROMやHeader-FROMのドメインに、SPF、DKIM、DMARCで問合せした結果を照合して検証を行うことで、なりすましメールと認識することができます。
つまり、メール送信データの一部を詐称する場合はシステム的に矛盾した状態となっているので、これをシステム的に検知することができます。
言い換えると、システム的に矛盾しない状態であれば、システム的に検知ができないことになります。
それには、攻撃者が正規にドメインを取得し、SPF、DKIM及びDMARCに対応したDNSサーバを構築しておけばいいでしょう。
システム的に矛盾はないので、取引先と似たメールアドレスとなるドメインにしておけば、なりすましメールを検知することはできなくなります。