Go to Qiita Advent Calendar 2024 Top
LoginSignup
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

@mktro(まこたろ)

情報処理安全確保支援士 平成26年春 午後1 問2

Posted at

#設問1
(1) a:syslog
UNIX系で一般的に使われているログ収集、転送方式といえばsyslogです。
ちなみにWindowsだとイベントログです。
下記IPAのサイトにログの運用に関する記述があるため、一度目を通しておいても良いと思います。
また、下記サイトには「管理者にとって重要な情報を提供するログファイルは、常に攻撃者から改ざんの対象となっているので、ログファイルを完全に信じることは危険である。」とあります。
たまに試験でも出ているようですが、ログサーバとサーバ自身のログを比較することで改ざん有無を確認する問題も出ています。
これは有効な手段と言えます。
8.2 不正アクセス検知のための運用

(2) b:-all
問題文に「A社のメールアドレスを使ったメールを送信するのは外部メールサーバだけである」とあります。
SPFレコードには外部メールサーバのIPアドレスが既に記載されているため、他に許可IPアドレスが記述されることはありません。
それ以外を拒否するという意味で「-all」を利用します。
またSPFには-allではなく、~all(チルダオール)という記述の仕方も存在します。
~allの場合送信元メールサーバの認証は-allにくらべて、認証に失敗した「かも」くらいになります。
他サイト様でも違いについて記載されているため、1度確認しておくといいと思います。

#設問2
・インターネットから迷惑メール対策装置を経由せずに送られていた
表2を確認するとインターネットから迷惑メール対策装置、外部メールサーバへのSMTP通信は許可されています。
これは、本文中にも記載がありますが、迷惑メール対策装置が故障した際に外部メールサーバが引き継ぐためです。
次に表3ですが、1~4行目にMXとAレコードの記載があり、確認すると、msv1である迷惑メール対策装置の方が優先度が高いです。
A社にメールを送信したい場合、A社のドメインを解決するためDNSサーバに問い合わせを行います。その際、登録されているMXレコードはすべて送信元に送られます。(msv1とmsv2の情報が送られる。)
そのため、送信元はmsv2である外部メールサーバを指定してメール送信をすることも可能です。
外部メールサーバを指定して送信されていた。と記述しても解答としては間違っていないと思います。

#設問3
(1) メールサーバのIPアドレスが変更された場合
IPアドレスWLではメールの送信元IPアドレスをチェックしています。
メールが急に届かなくなると考えられるのはIPアドレスの変更があった場合です。
採点講評にもありますが、MXレコードの設定を変更するという記述が散見されたそうですが、IPアドレスWL(IPアドレス)に関する問題のため、MXレコードは関与しません。

(2) 迷惑メールの送信者がドメインを正当に取得した場合
SPF認証は送信されてきたメールのドメインのIPアドレスが、送信元メールサーバのIPアドレスと一致しているかどうかを比較する技術です。この認証が成功してしまえばどの送信元からのメールも受信してしまいます。
そのため、攻撃者が正当なドメインを取得した場合、A社では攻撃者からのメールを受信してしまいます。
以上のことから、ドメインWL、BLでドメイン名の許可/拒否を行うことは必要だと思われます。
また、SPFはエンベロープ(From)のドメイン名で送信元メールサーバの認証を行います。(ヘッダの確認は行わない)
採点講評では、「"送信元IPアドレスを詐称したパケットを送りこむ"といった解答が目立った」とあります。SMTPはTCP通信のため、IPアドレスの詐称は難しいため、試験ではできないものと考えて良さそうです。

(3) c:プロキシサーバ
** 効果:迷惑メールの拒否率向上** 
表1を確認するとプロキシサーバでもURLフィルタリングを行っていることがわかります。
それ以外にURLフィルタリングに関する設定を行っている機器はないためプロキシサーバが入ります。
そして、期待される効果ですが表2のFWのルールを見るとメール送信の際はプロキシサーバを経由していないため、HTTP/HTTPS通信を行うときだけプロキシサーバを経由し、プロキシサーバではHTTP/HTTPS通信を行う際に接続先URLへの接続許可/拒否を行っていると考えられます。
このURLフィルタリング機能をメールのURLWL、BLにも適用することで、メールのヘッダ及び本文中に含まれるURLも検査対象になるため、迷惑メールを拒否する確率が向上します。

#設問4
・SMTP通信を迷惑メール対策装置に振り分ける
設問2の対策を行う問題です。
送信元は外部メールサーバを直接指定してきていたと考えられます。
問題文では「LBの設定を変更することで」とあるため、メール受信の際に1度LBを中継に設置し、そこで迷惑メール対策装置に振り分けるように設定すれば良さそうです。

2
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?