午後1-平28春-問2(DNS系)の質問です。

あふぇあwfさん  
(No.1)
問題:https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2016h28_1/2016h28h_sc_pm1_qs.pdf
回答:https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2016h28_1/2016h28h_sc_pm1_ans.pdf

①図4ではDNSキャッシュポイズニングでMXレコードを汚染したと書いてあるのですが、私の持っている教材では「図 4 の攻撃が成功すると,プロキシサーバには,取引先ドメイン名の MXレコードとして,攻撃者が用意したメールサーバの IPアドレスがキャッシュされてしまいます」と書いてあります。
しかしMXレコードを調べると「【ドメイン名】    IN MX 【優先度】     【配達先メールサーバ】」がMXレコードで、IPアドレスの対応関係はAレコードに書いてあるパターンばかりです。
IPアドレスを汚染するという解説は正しいのでしょうか?

②(設問4-変更箇所)がよくわかりません。私のイメージとしてエンベロープは詐称付加のメールアドレス、メールヘッダは詐称可なメールアドレスという印象があるのですが、模範解答はメールヘッダの送信者を照合するブラックリスト3です。
よろしければ解説お願いします。
2023.01.31 11:12
あふぇあwfさん  
(No.2)
↑詐称付加→詐称不可です。
2023.01.31 11:14
pixさん 
SC ダイヤモンドマイスター
(No.3)
1.MXレコードはメールサーバ名を設定します。
「IPアドレス」という説明は不適切と思われます。

2.「エンベロープの送信者メールアドレス」及び
「メールヘッダの送信者メールアドレス」は両方とも詐称可能です。

今回の事象は「複合機メールアドレスを詐称したメールがインターネットから
送信されている」です。
複合機の送信者メールアドレスは「scanner@u-sha.co.jp」です。
複合機からのメールは社内と同一のドメインです。このメールは内部メール
サーバ経由で利用者に送信されます。決して、外部メールサーバを経由しません。

そのため、外部メールサーバへインターネットからの送信者メールアドレス
「scanner@u-sha.co.jp」のメールは確実にメールアドレスを詐称した不正なメールと
判断できます。
ゆえに、ブラックリスト3に登録してメールを拒否するよう設定したというものです。
2023.01.31 11:57
あふぇあwfさん  
(No.4)
回答ありがとうございます。
知識不足で申し訳ないのですが、エンベロープ送信者メールアドレスを拒否するブラックリスト1ではいけない理由を教えてください。
2023.01.31 13:55
pixさん 
SC ダイヤモンドマイスター
(No.5)
今回の事象は「複合機メールアドレスを詐称したメールがインターネットから
送信されている」です。

攻撃者の意図は
・不正なメールをユーザに閲覧させて、マルウェアを感染させたい
・そのためには、ユーザに正規のメールと勘違いさせたい
・目につくメールヘッダの送信者メールアドレスが「scanner@u-sha.co.jp」ならば
  ユーザも正規の複合機からのメールと勘違いしてくれるだろう
です。
上のように「攻撃者の意図」と「ユーザの勘違い」という両方の視点を
理解していなければなりません。

それゆえに確実にメールを拒否するために「エンベロープの送信者
メールアドレス」ではなく、確実に詐称されている「メールヘッダの送信者
メールアドレス」をブロックしたという流れになります。

ちなみにこの攻撃に使用される際の「エンベロープの送信者メールアドレス」は
なにが設定されるかは不明と思われます。

あふぇあwfさんは「送信者メールアドレスの詐称」という技術面にのみ気を
とられてしまっていたようです。
攻撃は常に攻撃者とユーザとの心理的な状況を意識する必要があります。
2023.01.31 14:17
あふぇあwfさん  
(No.6)
確かに仰る通りヒューマンエラーを起こさせるにはメールヘッダ側を偽装するのでしょうね。
理解しました。ありがとうございます。
2023.01.31 15:09
あふぇあwfさん  
(No.7)
言われてみればメールヘッダを偽装しなければただのスパムメールですよね。
ユーザの立場になるというのをしてみようと思います。
2023.01.31 15:18

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop