送信ドメイン認証技術で防御不可となるなりすましメールの方法【情報処理安全確保支援士試験 令和元年度 秋期 午後1 問1 設問4】

情報処理安全確保支援士試験 令和元年度 秋期 午後1 問1 設問4

問1 電子メールのセキュリティ対策に関する次の記述を読んで、設問1〜4に答えよ。

(略)

 送信者メールアドレスには、SMTPのMAIL FROMコマンドで指定されるエンベロープの送信者メールアドレス(以下、Envelope-FROMという)と、メールデータ内のメールヘッダで指定される送信者メールアドレス(以下、Header-FROMという)がある。送信したメールが不達になるなど配信エラーとなった場合、Envelope-FROMで指定したメールアドレス宛てに通知メールが届く。N社では、従業員がPCからメールを送信する場合、Envelope-FROM及びHeader-FROMとも自身のメールアドレスが設定される。

 昨今、メールを悪用して企業秘密や金銭をだまし取る攻撃が発生しており、N社が属する業界全体の会員企業でも、なりすましメールによる攻撃によって被害が発生した。こうした被害を少しでも抑えるため、同団体から送信者メールアドレスが詐称されているかをドメイン単位で確認する技術(以下、送信ドメイン認証技術という)を普及されるよう働きかけがあったことから、N社でも情シ部が中心になって送信ドメイン認証技術の利用を検討することになった。

(略)

U主任:送信ドメイン認証技術では、SPF、DKIM、DMARCが標準化されています。当社の外部メールサーバでは、いずれも利用が可能です。

(略)

 これらの検討結果を経営陣に報告したところ、N社は送信ドメイン認証技術としてSPF、DKIM、DMARCを全て利用することになり、情シ部が導入作業に着手した。

(略)

 その後、N社と主要な取引先での送信ドメイン認証技術の導入が完了した。

【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後1問1(一部、加工あり)】

攻撃者がどのようにN社の取引先になりすましてN社にメールを送信すると、N社がSPF、DKIM及びDMARCでは防ぐことができなくなるのか。その方法を50字以内で具体的に述べよ。:N社の取引先と似たメールアドレスから送信ドメイン認証技術を利用してメールを送信する。

SPF、DKIM及びDMARCによる送信ドメイン認証技術は、なりすましメールによる攻撃への対策です。

送信者メールアドレスを詐称することで取引先になりすましますが、具体的にはHeader-FROMを詐称します。

これを受信したメールサーバは、受信メールから得られた情報と、Envelope-FROMやHeader-FROMのドメインに、SPF、DKIM、DMARCで問合せした結果を照合して検証を行うことで、なりすましメールと認識することができます。

つまり、メール送信データの一部を詐称する場合はシステム的に矛盾した状態となっているので、これをシステム的に検知することができます。

言い換えると、システム的に矛盾しない状態であれば、システム的に検知ができないことになります。

それには、攻撃者が正規にドメインを取得し、SPF、DKIM及びDMARCに対応したDNSサーバを構築しておけばいいでしょう。

システム的に矛盾はないので、取引先と似たメールアドレスとなるドメインにしておけば、なりすましメールを検知することはできなくなります。