情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

長文となりますがお付き合い頂けませんでしょうか。混乱しております、お助け頂けますと幸いです。

問題説明文内に以下の情報があります。

①表1内 番号4に利用者IDは会社メールアドレスとあります。

②図2の手順より、管理責任者は申請者から利用者ID登録申請をメールで受け付けています。

◆質問1
上記①②より、管理責任者は申請内容として書かれている利用者ID（＝会社メールアドレス）と申請者の会社メールアドレス（管理者から見た送信者アドレス）を目検して、そもそも申請者が利用者本人かどうか（第三者かどうか）を目検レベルで判定できるのでは？と思うのですが、この理解はおかしいでしょうか？
※文中には管理責任者がそのような目検をすることは書かれていませんが、そんなレベルのチェックもせずに書かれている通りに利用者登録するなんてあり得ない気がしております。

◆質問2
仮に管理責任者が質問1の目検をしていると仮定した場合、第三者が他の利用者になりすまして仮パスワードを入手するためには、大前提として第三者は他の利用者の会社メールアドレスになりすまして管理責任者にメールで申請する必要がある思うのですが理解あってますでしょうか。有識者の方の見解を伺いたいです。
※私はここが問いの趣旨なのかと思っていました。

◆質問3
そもそも①（利用者ID＝会社メールアドレス）の前提は無視して考えるべきなんでしょうか。
利用者IDが任意に設定できるなら、IPAの模範回答は理解できます。
ただ、任意に設定できるという前提、説明が見当たらないので①の前提で考える方が文意に則していると思っています。

なんか、やたら細かく入り込んでいる気がします。

私の場合は「申請者と管理責任者の関係のお決まりバターンが来たな。案の定、図2の管理者は何もチェックしていない。これだべさ！」と安易にとらえました。

◆質問2
悪意をもった第三者がP社のメールシステムを使えること。これ大前提です。

◆質問1
仮に、管理責任者が目検レベルでチェックしてたとします。
この程度のチェックレベルは、"メールヘッダのFromフィールド"と"利用者ID"の一致ですかな。
しかし、Fromフィールドは送信者が詐称が可能なので、日ごろから嫌味なaaさんのメルアドに詐称し、利用者IDもその様に詐称したとします。
この場合管理者は一致したとみなしますよね。しかし正しくチェックできていません。

◆質問3
上で述べたように、詐称したアドレスは実在しない人(happy)の会社メールアドレスでも可能です。
だって、管理者がhappyさんにレスポンスメールを出しているわけでもないし。
そして、このようなチェックすることは「管理者は何もチェックしていない」ことにはなりません。

こりんさん
ご回答ありがとうございます。
大変参考になりました。