【ネットワークスペシャリスト試験 令和6年度 春期 午後2 問2 設問5】なりすましメール対策-S/MIME
ネットワークスペシャリスト試験 令和6年度 春期 午後2 問2
【出典:ネットワークスペシャリスト試験 令和6年度 春期 午後2 問2(一部、加工あり)】
[S/MIMEの調査と実施策]
S/MIMEでは、受信者のMUA(Mail User Agent)によるメールに付与された電子署名の真正性の検証で、なりすましメール内容の改ざんが検知できる。
MUAによる電子署名の付与及び電子署名の検証の手順を表4に示す。
X主任は、S/MIME導入に当たってY社とZ社が実施すべき事項について検討し、次の四つの実施事項をまとめた。
- Y社のホームページ上で、サポートメールへのS/MIMEの導入をアナウンスし、なりすまし防止対策を強化することを顧客に周知する。
- 取得した電子証明書は、Z社にも秘密鍵と併せて提供する。
- Y社のサポート担当者及びZ社のサポートチームYのサポート担当者は、自身のPCに電子証明書と秘密鍵をインストールする。
- Y社及びZ社のサポート担当者は、送信するメールに電子署名を付与する。
X主任は、サポートメールにSPFとDKIMだけでなく新たにS/MIMEも導入したメールの運用方法と、サポート委託を開始するまでにY社及びZ社で実施すべき事項をW課長に報告した。報告内容が承認されたので、X主任は、委託時のメールの運用を開始するまでの手順書の作成、及びZ社の窓口担当者との調整に取り掛かった。
【ネスペR6午後2問2】徹底解説!(最終回) ~S/MIMEで最後の砦を築け~
前回、SPFとDKIMという強力な対策を講じても、正規のメールサーバを悪用した「内部のなりすまし」は防げないという、上司W課長の鋭い指摘がありましたね。この最後の課題を解決する切り札としてX主任が見出したのが、「S/MIME (Secure/MIME)」です。
今回は、このS/MIMEの仕組みを解き明かし、Y社のメールセキュリティ対策を完成させましょう!
⚠️ はじめに:本設問の取り扱いについて
本題に入る前に一点、重要な情報をお伝えします。IPAが公開している公式の採点講評では、【設問5】は「不備により設問が成立しない」とされています。
しかし、出題者が何を意図していたかを理解することは、試験対策として非常に有益です。そこでこの記事では、「もし設問が成立していたら、どう考え、どう解答すべきか」という観点で、S/MIMEの仕組みを徹底的に解説していきます。
✅ S/MIMEとは? SPF/DKIMとの決定的な違い
S/MIMEは、メールに電子署名や暗号化を施すための標準規格です。今回焦点となるのは電子署名によるなりすまし防止機能です。
SPFやDKIMとの決定的な違いは、認証のレベルにあります。
- SPF/DKIM: サーバの認証。「このメールは、正規の『サーバ』から送られました」を証明。
- S/MIME: 個人の認証。「このメールは、正規の『送信者本人(のPC)』から送られました」を証明。
S/MIMEでは、送信者一人ひとりが、認証局(CA)から発行された個人の電子証明書と、それに対応する秘密鍵を持ちます。これを使ってメールクライアント(MUA)レベルで署名を行うことで、W課長が指摘した「サーバは本物だが、中の人がなりすまし」というケースを防ぐことができるのです。
💡【設問5】S/MIMEによる電子署名のプロセスを解き明かす
それでは、S/MIMEの電子署名と検証のプロセス(表4)を基に、設問を解いていきましょう。
(1) 電子署名データはどうやって作る?
【問題】 表4中の下線⑨の電子署名データの作成方法を、25字以内で答えよ。
【想定される解答】 ハッシュ値を送信者の秘密鍵で暗号化する。
【解説】 電子署名は、「送信者本人からのものであること」と「内容が改ざんされていないこと」を同時に証明するためのものです。表4のプロセスを見てみましょう。
- まず、メール内容からハッシュ関数を使って「ハッシュ値」を生成します。 これはメールの指紋のようなものです。
- 次に、このハッシュ値を「送信者しか持っていない鍵」で暗号化します。これにより、送信者本人であることを証明します。この「送信者しか持っていない鍵」こそが「秘密鍵」です。
この「秘密鍵で暗号化されたハッシュ値」が、電子署名データ(下線⑨)の正体です。
(2) 電子署名からハッシュ値を取り出すには?
【問題】 表4中の下線⑩のハッシュ値を取り出す方法を、20字以内で答えよ。
【想定される解答】 送信者の公開鍵で復号する。
【解説】 受信者は、送信者が秘密鍵で暗号化した電子署名を受け取ります。この暗号を解いて、元のハッシュ値を取り出す(下線⑩)にはどうすればよいでしょうか?
ここで登場するのが、秘密鍵とペアになっている「公開鍵」です。 公開鍵は、その名の通り公開されていて誰でも入手できます。S/MIMEでは、メールに添付された「送信者の電子証明書」の中に、この公開鍵が含まれています。
受信側のメールクライアントは、
- メールに添付された電子証明書を取り出す。
- 証明書の中から送信者の公開鍵を取得する。
- その公開鍵を使って電子署名を復号し、元のハッシュ値を取り出す。
という手順を踏みます。
(3) 「改ざんなし」と判断できる条件は?
【問題】 本文中の下線⑪について、どのような状態になれば改ざんされていないと判断できるかを、25字以内で答えよ。
【想定される解答】 二つのハッシュ値が一致した場合。
【解説】 受信者は、2つのハッシュ値を用意して比較(下線⑪)します。
- ハッシュ値A: 電子署名を公開鍵で復号して取り出したもの(手順4)。 これは「送信時点でのメールの指紋」です。
- ハッシュ値B: 受信したメールの本文から、送信者と同じハッシュ関数で再計算したもの(手順5)。 これは「受信時点でのメールの指紋」です。
もし、配送途中でメールの内容が1文字でも書き換えられていたら、ハッシュ値Bはハッシュ値Aとは全く異なる値になります。 したがって、「ハッシュ値Aとハッシュ値Bが完全に一致する」ことではじめて、「このメールは途中で改ざんされていない」と判断できるのです。
🎊 まとめ:階層的な防御で鉄壁のメールセキュリティを!
長かったY社のメールセキュリティ強化の旅も、これで完結です。 今回の問題を通して、私たちは標的型メール攻撃に対抗するための多層的な防御について学びました。
- SPF (サーバ認証): 送信元サーバのIPアドレスを検証し、許可されていないサーバからのなりすましを防ぐ。
- DKIM (サーバ認証+改ざん検知): 電子署名により、正規のサーバから送信されたことと、内容が改ざんされていないことを保証する。
- S/MIME (個人認証+改ざん検知): 個人の電子証明書を使い、正規のサーバ内の「送信者本人」からのメールであることを証明し、改ざんも検知する。
このように、それぞれの技術が持つ役割と限界を理解し、それらを適切に組み合わせることが、堅牢なセキュリティ体制の構築につながります。本問は、ネットワーク技術の知識だけでなく、現実のビジネス課題を解決に導くための思考プロセスを問う、非常に優れた問題だったと言えるでしょう。
この解説シリーズが、皆さんの資格取得の一助となれば幸いです。最後までお付き合いいただき、ありがとうございました!
