【ネットワークスペシャリスト試験 令和6年度 春期 午後2 問2 設問1】なりすましメール対策-DNS/NAT
ネットワークスペシャリスト試験 令和6年度 春期 午後2 問2
【出典:ネットワークスペシャリスト試験 令和6年度 春期 午後2 問2(一部、加工あり)】
問2 電子メールを用いた製品サポートに関する次の記述を読んで、設問に答えよ。
Y社は、企業向けにIT製品を販売する会社であり、電子メール(以下、メールという)を使用して、販売した製品のサポートを行っている。Y社では、取扱製品の増加に伴って、サポート体制の強化が必要になってきた。そこで、サポート業務の一部を、サポートサービス専門会社のZ社に委託することを決定し、Y社の情報システム部のX主任が、委託時のメールの運用方法を検討することになった。
Y社のネットワーク構成を図1に、外部DNSサーバYが管理するゾーン情報を図2に、社内DNSサーバYが管理するゾーン情報を図3に示す。
Y社では、サポート契約を締結した顧客企業の担当者(以下、顧客という)からの製品サポート依頼を、社内メールサーバYに設定された問合せ窓口のメールアドレスである、support@y-sha.comで受け付けている。このメールアドレスはグループアドレスであり、support@y-sha.com宛てのメールは、Y社のサポート担当者のメールアドレスに配信される。サポート担当者は、送信元メールアドレスがsupport@y-sha.comにセットされた製品サポートのメール(以下、サポートメールという)を、社内メールサーバYを使用して顧客に返信している。
[Y社のネットワーク構成とセキュリティ対策の背景]
Y社のネットワーク構成とメールのなりすまし防止などの情報セキュリティ対策の背景について次に示す。
- サポート担当者が送信したサポートメールが①社内メールサーバYからメール中継サーバに転送されるとき、②DNSラウンドロビンによってメール中継サーバY1又はY2に振り分けられる。
- 転送先のメール中継サーバが障害などで応答できないとき、社内メールサーバYは、他方のメール中継サーバ宛てに転送する機能をもつ。
- 顧客が送信したサポートメールがメール中継サーバに転送されるときは、外部DNSサーバYに登録されたMXレコードの(a)値によって、平常時は、ホスト名が(b)のメール中継サーバが選択される。
- FWには、インターネットからDMZのサーバ宛ての通信に対して、静的NATが設定されている。
FWに設定されている静的NATを表1に示す。
送信元メールアドレスの詐称の有無に対しては、DNSの(c)と呼ばれる名前解決によって、送信元メールサーバのIPアドレスからメールサーバのFQDNを取得し、そのFQDNと送信元メールアドレスのドメイン名が一致した場合、詐称されていないと判定する検査方法が考えられる。しかし、③攻撃者は、自身が管理するDNSサーバのPTRレコードに不正な情報を登録することができるので、ドメイン名が一致しても詐称されているおそれがあることから、検査方法としては不十分である。このような背景から、受信側のメールサーバが送信元メールアドレスの詐称の有無を正しく判定できるようにする手法として、送信ドメイン認証が生まれた。
送信ドメイン認証の技術には、送信元IPアドレスを基に、正規のサーバから送られたかどうかを検証するSPF(Sender Policy Framework)や、送られたメールのヘッダーに挿入された電子署名の真正性を検証するDKIM(DomainKeys Identified Mail)などがある。Y社ではSPF及びDKIMの両方を導入している。
【ネスペR6午後2問2】徹底解説!(1) ~なりすましメールとの戦い、まずは自社の構成を理解せよ~
今回は、令和6年度 春期 午後2 問2 を題材に、多くの企業が直面している「なりすましメール対策」について学んでいきましょう。 初回のこの記事では、【設問1】に焦点を当て、ネットワーク構成の基本的な読み解き方を解説します。
🎯 出題の背景:巧妙化する「標的型メール攻撃」
まず、この問題がなぜ出題されたのか、その背景を理解することが重要です。 【出題趣旨】には、以下のように記載されています。
特定の企業や官公庁などが保有する知財情報や個人情報などの重要な情報の窃取、改ざんなどを行う標的型メール攻撃が広がっており、攻撃手口が巧妙なことから、発見が難しく被害が増加している。
標的型メール攻撃は、なりすましメールによって行われることが多い。対策を怠ると、攻撃の被害者になるだけでなく、加害者になってしまうこともある。
まさに、現代のセキュリティ脅威の核心を突くテーマですね。この問題は、単なる知識だけでなく、「メールによるなりすましを検知するための対策」という実践的なシナリオを通して、私たちの技術力を試しているのです。
✅ まずは状況把握!Y社のシステム構成を読み解く
物語は、IT製品を販売するY社が、サポート業務の一部を専門会社のZ社へ委託するところから始まります。 まずは、【設問1】を解くために必要なY社の現状を整理しましょう。
- 事業内容: 企業向けIT製品の販売と、メールによる製品サポート。
- ネットワーク構成: インターネット、DMZ、内部LANの3層構造。FWで各セグメントが分離されています。(図1参照)
- メールシステム:
- 受信: インターネット → メール中継サーバY1/Y2(DMZ) → 社内メールサーバY(内部LAN)
- 送信: 社内PC → 社内メールサーバY(内部LAN) → メール中継サーバY1/Y2(DMZ) → インターネット
- セキュリティ対策: なりすまし防止のため、SPFとDKIMを導入済み。
この構成を頭に入れながら、早速設問を見ていきましょう!
💡【設問1】ネットワークの基礎知識が試される!
【設問1】は、Y社のネットワーク構成や基本的なセキュリティ設定に関する問題です。一つずつ丁寧に解いていきましょう。
(1) 社内からメール中継サーバへの宛先FQDNは?
【問題】 本文中の下線①について、転送先のメール中継サーバのFQDNを答えよ。
【解答】 mail.y-sha.lan
【解説】 この問題を解くカギは、「誰が」「どこから」「誰に」名前解決を依頼するかを考えることです。
- 通信の登場人物:
- 送信元: 社内メールサーバY (y-mail3)
- 転送先: メール中継サーバY1またはY2
- 名前解決サーバ: 社内にあるので、社内DNSサーバY (y-ns2) を使います。
- DNSの設定を確認:
- y-ns2 が管理するゾーン情報(図3)を見てみましょう。
- 本文には、「DNSラウンドロビンによってメール中継サーバY1又はY2に振り分けられる」とあります。DNSラウンドロビンは、1つの名前に複数のIPアドレスを登録する負荷分散技術です。
- 図3を見ると、mail.y-sha.lan という名前に、192.168.0.1 (y-mail1) と 192.168.0.2 (y-mail2) の2つのIPアドレスがAレコードとして登録されています。
このことから、社内メールサーバYは mail.y-sha.lan というFQDNを宛先としてメールを転送していることが分かりますね。
(2) DNSラウンドロビンの「偏り」をなくす工夫とは?
【問題】 本文中の下線②について、社内メールサーバYからメール中継サーバY1又はY2へのメール転送時に、振分けの偏りを小さくするために実施している方策を、25字以内で答えよ。
【解答】 TTLを60秒と短い値にしている。
【解説】 これは【採点講評】で「正答率が低かった」と指摘された問題です。しっかり理解しておきましょう。
DNSラウンドロビンは便利な仕組みですが、一つ弱点があります。それは、一度名前解決した結果をクライアント(この場合は社内メールサーバY)がキャッシュしてしまうと、キャッシュの有効期限が切れるまで同じサーバにアクセスし続けてしまうことです。これが「偏り」の原因です。
では、どうすれば偏りをなくせるでしょうか?
【採点講評】のヒントを見てみましょう。
DNSキャッシュの生存時間を短くして、社内DNSサーバYに対する名前解決要求を頻繁に発生させる必要がある
その通り!キャッシュがすぐに無効になれば、クライアントは頻繁にDNSサーバへ問い合わせを行い、そのたびに別のIPアドレスが返ってくる可能性が高まります。
DNSレコードのキャッシュ時間を制御するのが TTL (Time To Live) です。図3の mail.y-sha.lan のレコードを見ると、TTLが 60(秒)と、デフォルトの 172800(48時間)に比べて非常に短く設定されていますね。これが、偏りを小さくするための工夫です。
(3) MXレコードと逆引きの知識を問う!
【問題】 本文中の空欄 (a) 〜 (c) に入れる適切な字句を答えよ。
【解答】 (a) Preference 、(b) y-mail2、 (c) 逆引き
【解説】 これはネットワークの基本知識を問う問題です。
- (a), (b): 外部からY社宛のメールがどのサーバに配送されるかを決めるのは MXレコード です。図2を見ると、y-sha.com のMXレコードは2つあります。
- y-mail2.y-sha.com. (優先度: 1)
- y-mail1.y-sha.com. (優先度: 20)
MXレコードの優先度(Preference値)は、数値が小さいほど優先されます。したがって、平常時は(a) Preference値が1である(b) y-mail2 が選択されます。
- (c): 「送信元メールサーバのIPアドレスからメールサーバのFQDNを取得し」とあります。IPアドレスをキーにしてドメイン名(FQDN)を調べる名前解決を「逆引き」と呼びます。これは必須知識なので、必ず覚えておきましょう。
(4) 静的NATの設定を読み解く!
【問題】 表1中の (ア)、(イ) に入れる適切なIPアドレスを答えよ。
【解答】 (ア) 200.a.b.1 、(イ) 192.168.0.1
【解説】 静的NATは、グローバルIPアドレスとプライベートIPアドレスを1対1で固定的に変換する技術です。
- (ア) 変換前IPアドレス: これは、インターネット側から見える y-mail1.y-sha.com のグローバルIPアドレスです。外部からの名前解決なので、外部DNSサーバY(図2) を参照します。 図2には、y-mail1.y-sha.com. のAレコードとして 200.a.b.1 が登録されています。
- (イ) 変換後IPアドレス: これは、FWによって変換された後の、DMZ内での y-mail1 のプライベートIPアドレスです。社内ネットワークのアドレスなので、社内DNSサーバY(図3) を参照します。 図3には、y-mail1.y-sha.lan のAレコードとして 192.168.0.1 が登録されています。
このように、「誰がどのDNSサーバを見に行くか」を意識すれば、簡単に正解を導き出せます。
(5) 攻撃者はPTRレコードをどう悪用するのか?
【問題】 本文中の下線③について、攻撃者がPTRレコードに対して行う不正な操作の内容を、次に示す図8を参照して45字以内で答えよ。
【解答】 メールサーバのFQDNに、詐称したメールアドレスのドメイン名を登録する。
※公式解答は少し言葉足らずなので、以下のように補足するとより分かりやすいです。 「攻撃者が管理するIPアドレスのPTRレコードに、詐称したいドメイン名を含むFQDNを登録する」
【解説】 逆引きを使った送信元ドメインの検証は、一見有効そうに見えます。しかし、本文にある通り「検査方法としては不十分」です。なぜでしょうか。
それは、PTRレコードはIPアドレスの管理者が設定できるからです。
攻撃者は、自分が管理しているメールサーバ(IPアドレス:1.2.3.4 とする)のPTRレコードに、詐称したいドメイン名(例: y-sha.com)を含むFQDN(例: mail.y-sha.com)を偽って登録します。
受信側のメールサーバが、攻撃者のサーバ(1.2.3.4)から来たメールを検証しようと逆引きをすると、攻撃者が設定した偽のFQDN (mail.y-sha.com) が返ってきます。受信側は、返ってきたドメイン名 (y-sha.com) と送信元メールアドレスのドメイン名が一致するため、正当なサーバから来たと誤認してしまう可能性があるのです。
この脆弱性があるため、SPFやDKIMといった、より強固な送信ドメイン認証技術が必要になったわけですね。
まとめ
今回は【設問1】を通して、ネットワークの基本構成を読み解く力と、DNS(Aレコード, MXレコード, PTRレコード, TTL)、NATといった基礎知識の重要性を確認しました。 特に(2)のTTLに関する問題は、単なる知識だけでなく、その設定がシステムにどう影響するかを理解しているかが問われる良問でした。
次回は、いよいよ本題である送信ドメイン認証技術「SPF」と「DKIM」に深く踏み込んでいきます。【設問2】と【設問3】の解説をお楽しみに!
