2025年2月12日 / 最終更新日 : 2025年2月12日 湊 コウ NW令和6年度春期

【ネットワークスペシャリスト試験 令和6年度 春期 午後2 問2 No.1】

ネットワークスペシャリスト試験 令和6年度 春期 午後2 問2

【出典:ネットワークスペシャリスト試験 令和6年度 春期 午後2 問2(一部、加工あり)】

問2 電子メールを用いた製品サポートに関する次の記述を読んで、設問に答えよ。

 Y社は、企業向けにIT製品を販売する会社であり、電子メール(以下、メールという)を使用して、販売した製品のサポートを行っている。Y社では、取扱製品の増加に伴って、サポート体制の強化が必要になってきた。そこで、サポート業務の一部を、サポートサービス専門会社のZ社に委託することを決定し、Y社の情報システム部のX主任が、委託時のメールの運用方法を検討することになった。
 Y社のネットワーク構成を図1に、外部DNSサーバYが管理するゾーン情報を図2に、社内DNSサーバYが管理するゾーン情報を図3に示す。


 Y社では、サポート契約を締結した顧客企業の担当者(以下、顧客という)からの製品サポート依頼を、社内メールサーバYに設定された問合せ窓口のメールアドレスである、support@y-sha.comで受け付けている。このメールアドレスはグループアドレスであり、support@y-sha.com宛てのメールは、Y社のサポート担当者のメールアドレスに配信される。サポート担当者は、送信元メールアドレスがsupport@y-sha.comにセットされた製品サポートのメール(以下、サポートメールという)を、社内メールサーバYを使用して顧客に返信している。

[Y社のネットワーク構成とセキュリティ対策の背景]
 Y社のネットワーク構成とメールのなりすまし防止などの情報セキュリティ対策の背景について次に示す。

  • サポート担当者が送信したサポートメールが①社内メールサーバYからメール中継サーバに転送されるとき、②DNSラウンドロビンによってメール中継サーバY1又はY2に振り分けられる
  • 転送先のメール中継サーバが障害などで応答できないとき、社内メールサーバYは、他方のメール中継サーバ宛てに転送する機能をもつ。
  • 顧客が送信したサポートメールがメール中継サーバに転送されるときは、外部DNSサーバYに登録されたMXレコードの(a)値によって、平常時は、ホスト名が(b)のメール中継サーバが選択される。
  • FWには、インターネットからDMZのサーバ宛ての通信に対して、静的NATが設定されている。

 FWに設定されている静的NATを表1に示す。


 送信元メールアドレスの詐称の有無に対しては、DNSの(c)と呼ばれる名前解決によって、送信元メールサーバのIPアドレスからメールサーバのFQDNを取得し、そのFQDNと送信元メールアドレスのドメイン名が一致した場合、詐称されていないと判定する検査方法が考えられる。しかし、③攻撃者は、自身が管理するDNSサーバのPTRレコードに不正な情報を登録することができるので、ドメイン名が一致しても詐称されているおそれがあることから、検査方法としては不十分である。このような背景から、受信側のメールサーバが送信元メールアドレスの詐称の有無を正しく判定できるようにする手法として、送信ドメイン認証が生まれた。
 送信ドメイン認証の技術には、送信元IPアドレスを基に、正規のサーバから送られたかどうかを検証するSPF(Sender Policy Framework)や、送られたメールのヘッダーに挿入された電子署名の真正性を検証するDKIM(DomainKeys Identified Mail)などがある。Y社ではSPF及びDKIMの両方を導入している。

下線①について、転送先のメール中継サーバのFQDNを答えよ。:mail.y-sha.lan

サポート担当者が送信したサポートメールが①社内メールサーバYからメール中継サーバに転送されるとき、②DNSラウンドロビンによってメール中継サーバY1又はY2に振り分けられる
 サポート担当者が送信したサポートメールの流れを確認します。
 図1から、サポートチームのPCが送信したサポートメールは、社内メールサーバYがメール中継サーバY1又はY2に転送されますが、そのときの名前解決に社内DNSサーバYを利用することが想定できます。
 そして、社内DNSサーバYでは、DNSラウンドロビンによる名前解決が行われるとあります。

 図3の社内DNSサーバYが管理するゾーン情報を確認すると、FQDNの「mail.y-sha.lan」が2行に記述され、異なるIPアドレスが指定されているのが分かります。
 これがDNSラウンドロビンの設定であり、PCが送信するサポートメールのFQDNは「mail.y-sha.lan」宛てに送信され、社内メールサーバYが社内DNSサーバYに問合せした名前解決の応答として「192.168.0.1(y-mail1.y-sha.lanで、メール中継サーバY1)」又は「192.168.0.2(y-mail2.y-sha.lanで、メール中継サーバY1)」が返信されます。
 転送されるFQDNは振分け前のものなので、メール中継サーバのFQDNは「mail.y-sha.lan」になります。
 ちなみに、FQDNに含まれる「.lan」は、インターネットに公開しないドメイン名になります。
 また、DNSサーバの記述ルールとして「mail.y-sha.lan.」と最後に「.」がありますが、FQDNとしては「.」を外した「mail.y-sha.lan」となります。

下線②について、社内メールサーバYからメール中継サーバY1又はY2へのメール転送時に、振分けの偏りを小さくするために実施している方策を、25字以内で答えよ。:TTLを60秒と短い値にしている。

サポート担当者が送信したサポートメールが①社内メールサーバYからメール中継サーバに転送されるとき、②DNSラウンドロビンによってメール中継サーバY1又はY2に振り分けられる
 DNSラウンドロビンの振分けの偏りに関係してくるのは、TTL(Time To Live)です。
 TTLは、DNSの情報を保有する時間のことで、社内メールサーバYがメール中継サーバのIPアドレスを保有する時間になります。
 この値が長いと、一方のメール中継サーバに偏って転送されることになります。
 図3を確認すると、「mail.y-sha.lan. 60 IN A 192.168.0.1」「mail.y-sha.lan. 60 IN A 192.168.0.1」とあり、TTLは60(秒)です。
 これは、社内メールサーバYが60秒毎に名前解決の要求を行い、社内DNSサーバYはラウンドロビンにより順番にIPアドレスを回答することで、メール中継サーバのIPアドレスの偏りを小さくしていることになります。
 なお、IPAの採点講評では「正答率が低かった。本文の構成のように、送信元が社内メールサーバYだけの場合、振分けの偏りを小さくするには、DNSキャッシュの生存時間を短くして、社内DNSサーバYに対する名前解決要求を頻繁に発生させる必要があることを理科してほしい。」とありました。

a:Preference、b:y-mail2、c:逆引き

顧客が送信したサポートメールがメール中継サーバに転送されるときは、外部DNSサーバYに登録されたMXレコードの(a)値によって、平常時は、ホスト名が(b)のメール中継サーバが選択される。
 図2の外部DNSサーバYが管理するゾーン情報を確認すると、「y-sha.com」ドメイン宛てのメールサーバの記述が2行あり、Preference(優先度)の値が「20」と「1」となっています。
 Preference値は小さい方が優先されるため、平常時はFQDN「y-mail2.y-sha.com」、ホスト名で言うと「y-mail2」の方が選択されます。


送信元メールアドレスの詐称の有無に対しては、DNSの(c)と呼ばれる名前解決によって、送信元メールサーバのIPアドレスからメールサーバのFQDNを取得し、そのFQDNと送信元メールアドレスのドメイン名が一致した場合、詐称されていないと判定する検査方法が考えられる。
 DNSの名前解決では、通常はFQDNからIPアドレスを取得しますが、逆に、IPアドレスからFQDNを取得するのは逆引きと言います。

ア:200.a.b.1、イ:192.168.0.1

 問題文に「FWには、インターネットからDMZのサーバ宛ての通信に対して、静的NATが設定されている。」とあるように、インターネットからはグローバルIPアドレスが宛先となり、FWによってプライベートIPアドレスに変換されて、DMZのサーバに転送されるようです。
 グローバルIPアドレスについては、図2の外部DNSサーバYのゾーン情報から、y-mail1.y-sha.comは「200.a.b.1」であることが分かります。

 プライベートIPアドレスについては、図3の社内DNSサーバYのゾーン情報から、y-mail1.y-sha.comは「192.168.0.1」であることが分かります。

下線③について、攻撃者がPTRレコードに対して行う不正な操作を、次に示す図8を参照して45字以内で答えよ。:メールサーバのFQDNに、詐称したメールアドレスのドメイン名を登録する。

送信元メールアドレスの詐称の有無に対しては、DNSの(c:逆引き)と呼ばれる名前解決によって、送信元メールサーバのIPアドレスからメールサーバのFQDNを取得し、そのFQDNと送信元メールアドレスのドメイン名が一致した場合、詐称されていないと判定する検査方法が考えられる。しかし、③攻撃者は、自身が管理するDNSサーバのPTRレコードに不正な情報を登録することができるので、ドメイン名が一致しても詐称されているおそれがあることから、検査方法としては不十分である。
 通常、正規のDNSの逆引きによって、送信元メールサーバのIPアドレスから攻撃者のメールサーバのFQDNを取得することで、送信元メールアドレスのドメイン名が詐称されていないか確認する手段となります。
 しかし、攻撃者が不正にDNSサーバを運用し、逆引きの設定であるPTRレコードで詐称したメールアドレスのドメイン名のFQDNを登録することで、送信元メールアドレスの詐称を確認することができなくなります。

カテゴリー
NW令和6年度春期ネットワークネットワークスペシャリスト試験
タグ
NW令和6年度春期

前の記事

【ネットワークスペシャリスト試験 令和6年度 春期 午後2 問1 No.4】
2025年2月10日
NW令和6年度春期

次の記事

【ネットワークスペシャリスト試験 令和6年度 春期 午後2 問2 No.2】
2025年2月16日