令和元年度秋午後Ⅰ問1設問4

ゆうきさん  
(No.1)
送信ドメイン認証技術で防げない攻撃の模範回答として、「実在するドメインに似せたドメインを正当に取得し、なりすますことなく送信ドメイン認証技術を用いてメールを送信する」、というような回答がありますが、
「取引先のメールサーバあるいはメールアカウントに不正にアクセスし、それを利用してN社にメールを送信する」という回答を考えました。
確かに、実在のドメインに似せた正当なドメインを取得する方が、サーバやアカウントを乗っ取るより簡単だと思いますが、現実的にあり得なくもないのではと思っています。
私の回答がアリなのかナシなのか判断できる方いらっしゃいましたら教えてください。

2020.08.17 22:07
こりんさん 
(No.2)
㈱アイテックの解答速報が
「N社の取引先のPCをマルウェアに感染させ、正当な利用者のメールアドレスを用いてメールを送信する。」でした。ご質問の解答例とほぼ同じで視点からですね。

ウーン・・・  私は、(答えが導き出せませんでしたが、)
問題文の流れから"送信ドメイン認証方式に基づいて構築する"センタの解答を採ります。
アイテックや貴殿の解答は、問題文の流れに乗っていないと思います。
部分点貰えるか?  ⇒  10点中3点とみました。
2020.08.18 13:03
わっつさん 
(No.3)
私見ですが,参考になれば...

奇しくも,送信ドメイン認証に関する質問が続きました。
あちらは,CP(キャッシュポイズニング)攻撃によるSPFのすり抜けがテーマでした。

この解答で鍵となるのは問題文にある「なりすまし」という文言であると考えました。
スレ主さんやこりんさんが書かれている㈱アイテックの解答は,「なりすまし」というより「のっとり」という表現になります。
「なりすまし」の範囲での解答ですとセンター解答になりますが,私もこの解答は思いつきませんでした。
部分点については採点基準の調整がない限りは厳しいのではないかと思います。
2020.08.18 14:26
ゆうきさん  
(No.4)
こりんさん、わっつさんありがとうございます。
問題内の論点を抑える回答を作成できるように演習を重ねたいと思います。
2020.08.18 22:24

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop