令和6年秋期試験 午後試験【問2】についての投稿を受け付けるスレッドです。

メールが出てくるとは…
旧午後2でも殆どメインテーマとしては出なかったですよね…

みんな楽勝でコメント少なさそう

楽勝なんですか？

僕みたいな勉強不足でなければ楽勝なんかもしれない

subjectとSPFの関係がわからんかったとです

subjectに連番付与するときにYサービスを経由するから、送信元IPアドレスが変わっちゃうのかと想像しました。自信はないです

subjectが関係するのはdkimの方だけかと思ってました。。

メールの内容と攻撃の続きなににしました？
自分は、
内容: A社メールアドレスへの連絡
攻撃: なりすまして罠サイトに誘導したりマルウェアを送付
的な感じにしました。

> メールの内容と攻撃の続きなににしました？
パスワードリセットやワンタイムパスワード->ログインしてデータのダウンロードや改ざん
にしました

パスワードやら登録者情報の変更の案内メール
上記を勝手に変えたりなりすましされる〜
にしました

前半行けそうだったので選択したのですが、最後が分からず勘で埋めました……
メールの内容はパスワードリセット時の再設定メールが届くで、攻撃はなりすましてパスワードを設定しアカウントと業務情報を詐取としました

私もほぼ同じです。
パスワードリセットからの、不正に業務サービスの情報を取得、としました。

【受信】
外部サービスの利用者IDとパスワードが書かれたメールを受信する。

【攻撃の続き】
入手した利用者IDとパスワードを他のサービスで利用し、不正ログインを試みる。

にしました。根拠はないです（涙）

ワンタイムパスワードを確認しても、そもそも外部サービスの本当のログインパスが分からないから使い道ないと思ったりしました。

正直spfとdkimにsubject が関係あるなんて知らんかったので、subjectガン無視で適当に理由書いてしまった～

時間足りないのもあって、特に後半3問全然が全わからなかった。。
SPFとかDKIMとか勉強したからいける！と思いましたが全然ダメだった。問題選択ミスりましたね。（途中でやばいとわかったが、もう切り替える時間もなかった）
前提知識はそれなりに勉強したつもりなのですが（午前2は80%）、午後はどうしたら解けるようになるのか。。
やっぱり過去問演習ですかね？
ちなみに今回で2回目の受験です。

内容
不正なサイトに誘導するURLリンク

攻撃
サイトにアクセスしたらマルウェア感染して情報流出

みたいな感じに書きましたけど、正直午後はどの問題も手応えありませんでした、、
初受験ですが正直本当に難しくて手応え全くないです。

dkimはhタグにsubject含まれててハッシュ値変わっちゃうんかなと思ったけど、spfは分からん
送信ドメインがY社になるみたいなこと書きました

メールの内容ですが、何も知らない顧客からメールが来る理解で合ってますかね？

リード文で「顧客とメールで見積書や注文書を送受信する」みたいなのがあったので
「顧客からz社員への見積り依頼」
「z社員になりすまして架空の見積書返信」
としました。技術的要素ないとダメですかね…？

同じような内容を書きました

取引先とのメール内容に発注書とあったので、メール内容は発注書で、請求書に第三者の口座を記入して送付し振り込ませる攻撃にしたのですが的外れですかね

>>初受験さん
自分も同じ解釈をしました。
A社への問い合わせが攻撃者に届いちゃって、A社になりすましたメール返信で、
変なサイトに誘導したり、マルウェア送りつけたりするって解釈です。
ただみなさん違うことをおっしゃってるので自信がなくなりました。

dkimとspfのやつ、subjectが関係するのはdkimだけかと思ってました。
spfはどっちでも拒否されて、でもポリシー1だとdkim-`は通るからdmarc(dkim,spfのor条件)的に不達にはならない、という話と理解しました

文中にあった、社員が利用してる外部サービスが結局なにかわかりませんでした。

発注書とかって外部サービスなのか？って思ってメルマガの方かいちゃった、、
登録してるメルマガに似せた詐欺メール使って新ドメインに送る的な

攻撃の続き、記憶に新しいからランサムウェア関連記載しました
どうかなぁ？

spfにsubjectは関係ないでしょ

メール問題のほうがやりやすいかなって思って選んだけど全く自信ない〜。一応全部埋めたけどぉ。。。
FQDNの正解を誰か教えて。気になる。設問3（1）（2）あたり！

メールと攻撃については、

- 従業員(Aドメインはもう使っていない)が業務サービスの登録アドレスをaドメインのままにしている(zドメインへの変更わすれ)
- 空き状態になったaドメインを攻撃者が窃取する
- aドメインへのメール(from 業務サービス)の内容モロバレ


メールの内容見られたら、業務情報や認証情報が乗ってた場合に悪用され放題

と理解しました

私は
メールマガジンの内容をもとに、
見積書や受注者を盗む

としました、、、

まあメールの攻撃は考えられる例って旨が書いてあったので、受信者と送信者の関係が間違ってなければ広めに得点もらえると信じたいです。。

メールと攻撃は自然に考えればパスワード再設定メールかなと

最後の問題、下記の通り解答しました。。
①SPF
  Sサービスに登録されたSPFレコードにZ社ドメイン名に対応する正規の送信元IPアドレスとして、  Yサービスがメール送信時に利用するIPアドレスを登録されておらずSPFの検証に失敗する
②DKIM
  Sサービスに登録されたDKIMレコードに署名生成時のハッシュとしてSubjectを含めることを定義しているが、YサービスによってSubjectの値が変更されることによってハッシュが変わり署名の検証に失敗する

DKIM側はsubject値が変化する事に依るハッシュの変化で検証失敗、
SPF側はsubjectの変更有無に問わず送信元IPがYサービスに変わってしまう為に失敗。

subject変更しない場合はSPFでは上記理由で失敗しますが、
DKIMでかろうじて通る為に到達することとなります。
(SPF/DKIMを並行稼働させている時は片方がOKならOKです)

自分はメルマガかなって思いました。外部サービスに登録しているのが原因なんで。
今回のストーリーとしてはメルマガ（外部サービス）にA社ドメインのメアドの設定が残ってるからA社ドメインにメルマガ送られる→攻撃者に届く→攻撃者がメルマガを装って罠URL送る→これまできていたメルマガの内容と変わらないので、従業員はURL開いちゃうって流れだと思います。

ゆーぼさんとおなじ内容記載しました

問1(2)SMTPSって書きましたが、STARTTLS？
問3(1)エ？※私は間違えた
問(2)イ
4(3)ア
としました

abはどうしましたか？
私は、A社ドメイン名、インターネットにしました。
自信はないです。

a=A社ドメイン名、 b=インターネットで間違いないと思われます。

インターネットってドメイン名か？と思い全て、と記載しました

設問4(1)は、A社が提供するプログラムと偽ってマルウェアをダウロードさせる。
にしました。

問1(2)はSTARTTLSとSMTPSどちらでも正答だと思われます。
(文字制限でSMTP over TLSを排除した意図だったと思われますが、SMTPSも一般的にSMTP over TLSの略語として使われる用語ですからね。)

最初はsmtpsと書いたが、ダブルチェックする時smtp otlsに変更した、悔しい。

aはA社ドメイン名bはたるさんと同じく全てにしました
俺も最初はインターネットって書いてたけどなんかこれインターネットかな…って思って書き換えました
合ってるか自信はないけど…
てか、それ以降の記述問題がもう自信なさすぎる

一生懸命解いて、やっと終わってさっき読み直してふと思ったんですけど問2ってどの辺がセキュリティなんですかね？ただのメールの移行とメールサーバの設定と移行期に変なこと始める空気読めない営業マンの物語みたい。

bもc も間違えた〜！
bはインターネット思いつかなかった。。
cもover TLSは思いついたけど、smtpsは思いつかず。。。

4，4
5
4，4
5
5
4
5
5
5
採点はこんな感じかな

設問5
（1）spfレコードにTサービスの送信元ip追加
（2）
spf:
ml登録メンバのうち社外メンバが送信すると(spfに登録されていない)Z,T以外の送信元ipになって失敗

dkim:
署名付与時と通版付加時でメールの内容が異なるため受信時の検証に失敗

みたいなことを書きましたがどうでしょう

私の解答です。記述がダメダメで、合格はかなり厳しいかも...

設問1
  (1)A社ドメイン名
  (2)全て

設問2
  SMTPS（STARTTLSと悩みましたが、どちらでも良さそう？）

設問3
  (1)エ
  (2)イ
  
設問4
  (1)Z-Webサイトのドメイン名をA社ドメイン名に書き換えて、A社からのメールであると詐称する。
  (2)【内容】利用者IDとパスワードが書かれたメール
      【攻撃】入手した利用者IDとパスワードを用いて、別のサービスでログインを試みる
  (3)ア

設問5
  (1)Tサービスの契約者からのメールを許可する
  (2)【SPF】subjectに連番を付加すると、Uサービスから提供された情報を基にしたSPFレコードには登録されていないため。
      【DKIM】メーリングリストのドメイン名はY社のドメイン名であり、DKIMでは許可されていないため。

問2全体的にムズくないか。。
メール分野徹底的に勉強してたとしても答えられるか怪しいレベルなんだが。なれてる人にはかんたんなのか？

受信メールと攻撃はパスワードリセットかと思って書いてましたが、idの扱いに悩んで従業員情報の書かれたメール+なりすましに変えました。。

問２選んだものです。
設問1 a A社ドメイン名（〇）  ｂ全て（×）
設問2 ×
設問3（１） オ（×）  （２）イ（〇）
設問4（１）顧客に影響を及ぼすソフトウェア修正プログラムを提供する（部分点ｸﾚ）
      （２）メール      ログイン情報（部分点ｸﾚ）
            続きの攻撃  従業員になりすまし、情報を盗み、不正に社外サービスを利用する。（部分点ｸﾚ）
      （３）ア（〇）
設問5（１）拒否しないで乖離にしておく（マッタクワカラン）
      （２）SPF：YサービスのメールサーバーのIPアドレスは、SサービスのSPFレコードに登録されていないから（部分点ｸﾚ）
            DKIM：DKIM-Signatureヘッダーにメールの通番情報は含まれないから（ちょっとでも掠ってｸﾚ）

結構間違ってる気がします…
〜〜〜
問2
設問1
(1)a A社ドメイン名
(2)b Sサービス
設問2
c S/MIME
設問3
(1) イ
(2)d オ
設問4
(1)悪意のあるURLを無意識的に顧客にクリックさせる(クリックジャッキング)
(2)
メール:社外サービスに登録していた、従業員のメールアドレスに紐付く個人情報や業務情報等。
攻撃:メールアドレス等を用いてパスワードリスト型攻撃等を行いログインアカウントの不正入手を行う可能性がある。
(3)オ
設問5
(1)TサービスをDMARCレコード、SPFレコード、DKIMレコードに追加で登録する。
(2)
SPF:
Sサービスに登録されたSPFレコードにYサービスのドメイン名が存在しないため認証に失敗する。
DKIM:
DKIM-Signatureヘッダータグhに定義された内容がYサービスsubject設定2を使用した場合通番情報が付加されるためDKIM認証に失敗する。

SPFはIP書かずに-allで全て拒否できるのか、、知らなかった。
設問4(2)は社内の不倫メールが届いたら、それを元に個人を脅迫して、支払いに応じなかった場合は、A社の従業員1,000名向けと、一般向けのIR掲載欄に不倫情報を公開する、不倫の二重脅迫攻撃って書いたけどみんなの回答見てるとダメな気がする
なんとか受かりたい

ギャグセンスは抜群で草

受信するメールの内容ですが、冒頭に書いてあるニュースサイトのメールマガジンじゃないんですかね？
それを元に、興味のある情報を収集して、APT攻撃や水飲み場攻撃するみたいな感じで書きました

自信はないですが、、

設問2って submissionにしましたけど、正解になるのでしょうか。。。😢

設問4
(1)悪意のあるURLを無意識的に顧客にクリックさせる(クリックジャッキング)


クリックジャッキング！？

問１に時間かけ過ぎて、テンパって問題読み切れなかった…
Q1-2とQ4-3は落ち着いてれば分かったのに…どうしても「deny」がチラついて…

Q1-1  a-sha.co.jp
Q1-2  全て
Q2    SMTPS
Q3-1  オ
Q3-2  イ
Q4-1  
偽サイトと知らずに連絡してきた顧客に、A社従業員のフリをしてマルウェアを送りつける攻撃
Q4-2  
内容  使用していた社外サービスのメールマガジンを受信する
攻撃  パスワードを忘れた場合の機能を使いパスワード再設定し、
      対象の社外サービスに不正ログインする。
Q4-3  エ
Q5-1  SPFレコードにTサービスを登録する
Q5-2  
SPF
送信元IPアドレスがYサービスになるため、SPFレコードの検証で失敗する
DKIM
メールのSubjectが変更されると、メールが改ざんされたことになりデジタル署名の検証に失敗する。

問題文中にa-sha.co.jp を（以下、A社ドメイン名という）みたいな記載がある問題の回答でa-sha.co.jp って書いたときの正誤どうなるんだ

自分は最初a-sha.co.jpって書いたけど、気づいてA社ドメイン名って書いた派

1(1)については自分もa-sha.co.jpと書いてましたが、「以下A社ドメイン」の記載や、同図の別の行に「A社ドメイン」と書いてある部分との平仄を取る観点からも、「A社ドメイン」が正解でないかと思います。

転送先インターネットとか全てにしたら第三者中継できてしまうのではと思い、a社ドメインにしました。FW設定は？？となってしまって時間消費

業務サーバからのメールについて記述がなく？？ってなってしまいました

PCからA社ドメインにしかメールが遅れなかったら、顧客とのメールができないと思います

A社ドメインの悪用のメール受信って、業務で用いる社外サービスのログインパスワードを変えて、サービスを乗っ取ってマルウェア配布するとか、元のデータを流出させるとか、サービス丸ごと削除して嫌がらせするとかじゃないかと思った
違うのかな

なんか、落ちたな。。もう嫌だ…。
メールに関しては、顧客と見積もりや注文書のやり取りをしているとのことだったので、検収書などが送られてきた際に、従業員になりすまし入金口座が変更になったと偽り、攻撃者の口座に振り込ませるっていう攻撃を書きました。ダメかな。

最初二つともA社ドメインにした
二つ目は「顧客」にするか迷ったな...

問2と問3選びました。
自身はないですが、晒します。

設問1
(1)a A社ドメイン名
(2)b インターネット（全て か迷った）

設問2
c SMTPS

設問3
(1) エ
(2) イ

設問4
(1)攻撃者が用意したWebサイトにウソの情報を掲載する（適当）
(2)
メール:パスワード変更申請を行うリンクが記載されたメール
攻撃:変更したパスワードとA社ドメイン名のメールアドレスを使用して、社外サービスに不正にログインする
(3)ア

設問5
(1)Sサービスに登録されたDMARCレコードのz-sha.co.jpの部分をa-sha.co.jpに変更する。
(2)
SPF:
Sサービスに登録されたSPFレコードにYサービスのサーバのIPアドレスが記載されておらず、認証に失敗する。
DKIM:
Yサービスによってメールの内容が改ざんされ、Sサービスに登録されたDKIMレコードを用いたDKIM認証に失敗する。

メールは主題にするのは正直ちょっと疑問。何らかのインシデントの中でメールサーバの設定が〜とかならわかるけど。メールサーバの移行なんて家の引越しばりにレアな事象だし。もっとネットワークや認証、ランサムウェアとかのインシデント対応とか今迫られてるとこをなぜやらないのかね。なんか受験者が旬だと思うテーマを勉強するのをわざと外して嘲笑ってるようでとても違和感ある。この試験は勉強して受けるものではなくて、自分達のバックボーンにいつかあたるまでガチャ回し続ける課金試験に感じた。

あーなるほど、最後のSPFの部分は、subject設定が1だろうと2だろうと、認証に失敗してるのか。
ただ、1の時はDKIMで認証に成功してたからメールが到達したけど、2の時はそのDKIMも失敗するからメールは不達。

ってことは俺の回答はバツだな。くそ。

最後のSPFの部分、いかにも｢subjectを変えたから｣不達になりそうな雰囲気の書き方でしたよね。かろうじて反応できましたが、少しいやらしい問い方だったと思います。

記号で回答するところ-allって書いちゃったけどどうだろ

>あーなるほど、最後のSPFの部分は、subject設定が1だろうと2だろうと、認証に失敗してるのか。

"ヘッダーfrom設定1とsubject設定1の組み合わせでは、不達の問題は起きない。"
と明記されているので、SPF側もsubject設定2特有の問題が起きると考えて良いと思います！

SPF認証とDKIM認証の両方が失敗することで不達になるっていうことだから、ヘッダfrom設定1で既にSPF認証は失敗してる

>> No.71  f/re様
SPF側でsubject設定2特有の問題が出る事はSPFの原理的にありません。
subject設定に関わらずヘッダfrom設定1側で失敗するので、
唯一頼みの綱だったDKIMがこける事で不達になる、という文の意図だと思われます。

spfはエンベロープfromを対象に送信元サーバの認証を行う認識なので、subjectのパターンがどちらであっても認証は失敗していると判断しました。(YサービスはSPFに登録していないはずなので)
DMARCがSPF/DKIMのどちらか片方が認証成功すれば通る設定、という前提がわざわざ書かれていたことも考慮すると、パターン1ではDKIMしか認証はパスしていないと思います。
subjectに変更がかかるとDKIM認証が失敗する(改ざんされていると判断されてしまう)ことで、SPF/DKIM両方の認証が失敗してDMARCで弾かれる、という挙動の認識です！


>記号で回答するところ-allって書いちゃったけどどうだろ
私もそれで正しいとおもいます！

今回問2で6割取れる人っているんですかね？

SPFはなぁ...「通番が付加されることでSPFレコードと一致しなくなるから」って書いちゃった。
おかしいおかしいって腑に落ちないまま書いたけど、「SPFとDKIMのどちらかが認証されていればメールは届く」の説明書きを見落としてたな...ああ悔しい。
そこの配点は高そうだしなぁ。記号問題も当たってないし、6割いかんなぁ。

見積書や注文書を送受信してるってちゃんと書いてあるじゃん。
みんな問題文読んでなさすぎ。

書いてあるのはみなさん知ってるんじゃないですか？
外部サービスが何か明記されてないから言及を避けてるだけだけで…

設問1の（2）なんですが『インターネット』だと社内の従業員同士のメールやりとりが出来ないと判断して『全て』にしたんですが、どう思いますか？

私もbはドメイン名の列ですし、全てが正しいと思いました

同じ理由でbは全てにしました

受信するメールの内容

顧客から電子契約サービスから、見積書や注文書を受信するメール。

（想像力を膨らます問題とみた）

メールマガジンも迷ったが、攻撃者がメルマガのメール届いてもなーとかメルマガのアカウント情報を窃取されても対して影響ないかなーとか思い想像力にかけました！笑

攻撃例
顧客と偽の契約を結び、z社に損害を与える。

ちょっとは点数欲しいところ。。

>>おり様
見積書等をやり取りしている相手は顧客で、外部サービス経由とはどこにも書かれていないですよね。私もその見解に賛成です。

spfが失敗する理由はARCが対応してないから転送設定されているメールに対して認証が失敗する、と思ってましたが違いましたか？

ARCは各転送サーバ毎に検証した認証結果をARCヘッダで保持/引き継ぐものなので、
配信サービス側でSPF/DKIMの検証/対応している旨が記載されていない以上、
SPFやDKIMの検証結果に影響を及ぼす事は無いかと思われます。

答えの根拠とするための注記というよりも、
｢配信サービスで検証したうえでARC機能が有効ならそもそもこんなこと起きないじゃん｣の突っ込みを排除する為の注記だったのではないかなと感じました。

→答えの根拠としては、失敗する理由を問われているので、
  ｢ARCがないから｣という機能が無かった事を示す解答ではなく、
  ｢IPが変わっちゃって検証できなくなるから｣という直接的な理由を示す解答が、
  これまでの午後(少なくとも過去15回分)の公式回答の論理展開かなと思います。

ちなみにSPFの中継時のIP変更に対する対策としては、ARCよりもSRSという概念がより期待されています。

受信するメールの内容
・ニュースサイトのメールマガジン
攻撃内容
・ニュースの内容を改ざんして顧客に送信する

「続きの攻撃」ってなんだ？見たことない表現だぞ？ってなって訳わからんくなって苦し紛れにこう書いた。

下のような趣旨の回答を書いたのだけれど、間違っているだろうか。

設問4(1) アプリケーションプログラムをマルウェアに置き換え、顧客にダウンロード・実行させる。

設問5(1) SPFによる認証が失敗しても、DKIMによる認証が成功したメールは受領する。

問３(1)のDKIMはAWSのメール設定とかで、domainkeyが入っていることは知っていたのだけど、タグのaとかsとかは良く分からんかった。
詳しい人が居たら教えてちょ (人´∀`o)

備忘
設問１
（１）a：A社ドメイン名
（２）b:全て

設問２
SMTPS

設問３
（１）エ
（２）イ

設問４
（１）関連会社のリンクを悪意あるサイトに変える。アプリのプログラム、修正プログラムを悪意あるものに変える
（２）
内容：ニュースサイトのメールマガジン。顧客間の見積もり、発注書のやりとり。
攻撃：虚偽のIR情報の提供。A社従業員になりすました見積もりや発注書のやりとり
（３）ア

設問５
（１）TサービスのグローバルアドレスをSサービス上のSPFレコードに追加登録する
（２）
SPF：Y社メールのグローバルアドレスはSサービス上のSPFレコードに登録がないため
DKIM：Sサービス上のDKIMレコードでは通番情報は署名対象ではないため

みんな受信メール見られて何がセキュリティ？って言ってるけど、メールは現代のセキュリティの基本でしょ  普通にパスワードリセットされて乗っ取られて復旧不可になるの危険すぎない？

ニュースサイトのメールマガジンって単にメールアドレス登録するだけのところもあるし、そういうところだと攻撃に繋がるとは考えにくいような。
まぁ自分は「従業員になりすまして個人情報を取得する」的なことを書いたのだが。

SPFはIPが違う、DKIMは署名が検証できないと書かれてるだけでも部分点もらえるでしょ。
続きの攻撃なども完全にバツになるような回答はなさそうだし、6割取るだけなら狙い目。

私も完全に部分点狙いで、

SPFはSMTP接続元とSPFレコード記載のIPアドレス不一致で検証失敗
DKIMはドメイン変わってDKIM署名の検証に失敗

subjectに触れてないから違うんだろうなと思いつつ、部分点狙って苦し紛れに書きました、、
上で書いてる方もいらっしゃいましたけど、DKIMはハッシュ値の関係なのかな。

この投稿は投稿者により削除されました。(2024.10.14 15:43)

設問１（1）A社ドメイン
      （2）全て
設問２  SMTPS
設問３（1）エ
      （2）イ
設問４（1）顧客向けに提供している工作機械管理用アプリケーションプログラムやそのソフトウェア修正プログラムを悪意のあるものに差し替える
      （2）メール：パスワード変更を承認するメール
           攻撃：A社ドメインのメールアドレスと変更したパスワードで社外サービスに不正にログインする
      （3）ア
設問５（1）Tサービスからのメールの送信元IPアドレスをSサービスのSPFレコードに追加する
      （2）SPF：メールの送信元がYサービスになるが、SサービスのSPFレコードにYサービスの送信元IPアドレスが登録されていないため
          DKIM：YサービスによってメールのSubjectが変更され、電子署名の検証に失敗するため

感想：
実務として2024年2月の某G社のメールセキュリティポリシー変更への対応にあたっていたことがある方にとっては割と簡単だったと思います。なんとなく覚えていた知識でなんとか合格ラインに届きそうです。

補足
・設問４（1）は「顧客に影響を及ぼす」とあるので、問２冒頭の説明文からプログラムの差し替えに絞って記載しました。
・設問４（2）は「攻撃の例」を問われているので、場合によってはワンタイムパスワードが記載されたメールを受信（ワンタイムパスワードだけでログインできるシステムの場合、攻撃につながる）、個人情報が記載されたメールを受信（送られてほしくはないがシステムによってはいまだにあり得る）なども解答になるかもしれません。

>>mw様
DKIMが失敗する要因は、
Sサービス(権威DNS)のDKIMレコードに、
h(署名生成時の元データとするハッシュ値に含めるデータ)として、
subjectを含めていたにもかかわらず、
subjectの値が変更されることによりハッシュが変わってしまい、
署名の検証が正しくできなくなる部分にあります。

SPFの方の解答はその通りで問題ないかと思われます。
掲示板を見ている限り、SPF側でコケてDKIM解けた派が多そうなので、
逆にSPFで点を取れているmw様は点数補正等があった場合有利かもしれないですね。

結局STARTTLSとSMTPSどっちでもいい感じでしたかね？文脈からはSTARTTLSのような気がしてこちらを書いたのですが

この投稿は投稿者により削除されました。(2024.10.14 22:35)

皆様試験お疲れ様でした。

メールと攻撃の内容は、皆さんが書いて下さってるように、それぞれ行を分けて書くべきでしたでしょうかね？

いずれにせよボロボロでしたので、落ち込みつつ、春に向けてどうやって午後の勉強していこうか悩み中です。

>>スフレぷりんさん
解答用紙が内容と攻撃で行が分かれていましたよ。
まとめて書いてしまっても部分点はあるでしょうが・・・。

>>コアラさん
ありがとうございます。
かなり焦ってましたのでやらかしたようです。

問5の1についての答えは

T社のDNSにSPFとDKIMレコードの追加。

と思うのですがどうでしょうか？
T社がA社に対して一斉送信をするので送信元のDNSのSPFとDKIMレコードをA社が確認しないとA社にメールが届かないですよね？

DMARCレコードはあくまで送信ポリシーの設定だからT社としてはなくても良いと思いました

問5の(1)は｢Tサービス利用時のEnvelope-Fromに対するSPFレコードとしてTサービスでメール送付時に使われるIPアドレスをSサービスに登録する｣という旨の記述が正答だと思われます。
To/From/Subject以外のヘッダはサービス側で付与＝DKIM-Signatureヘッダもサービス側依存で送信者側で付与できない旨が記載されているので、
Tサービスに対応したDKIMの設定をSサービスに登録するのは効果がないように思えます。

TサービスのDNSにSPFレコードとDKIMレコードってついてる前提でしたっけ？
手元に問題がなくて思い出せなくて…

そもそも、レコードがついていなければ検証失敗するのかなと思っております。
(Step1,2でOKなのはDMARCの検証結果がいずれかでもnoneに振り分けるから)

明後日に回答速報が待ち遠しい…

そもそものことですが、-all の定義のようなことは上原本やインプレスの教科書には載っていなかったと思います。これらが参考書に載っていないのであれば、実務でSPFやDKIM、DMARKの設定をした経験がないと太刀打ちできないということになります。初学者でインフラ業務の経験がない受験生には厳しい試験と感じました。

問5の1ですが、Tサービスがエンベロープfromをヘッダfromと揃えてくれるのか、DKIM-Signatureのdタグをヘッダfromと揃えてくれるのかによって対応が変わってくるんじゃないですかね？

前者ならSPFレコードにTサービスのIPアドレスを追加、後者ならTサービスの公開鍵入りDKIMレコードを追加でDMARCは突破できるようになると思います。

本番は分からなくて、「SPFレコード、DKIMレコードにTサービスの情報を追加する」と書いて部分点狙いました。

川越さんと同じ思考で同じことを書きました
部分点はほしい…

>>川越様
そのために、明確にどのFromに対応するSPFレコードを登録するかを示す必要がある設問だったと思います。
私は｢Tサービス利用時のEnvelope-Fromに対するSPFレコードとしてTサービスでメール送付時に使われるIPアドレスをSサービスに登録する｣と解答しました。
SPFレコードとして～以降だと△だと思います。

5(1)はSPFに加えて
DKIMのToヘッダーはメーリングリストのメールアドレス宛で著名されていますが、受信するときは個人宛になるので、DKIMのhタグはToも変えなければいけないと思ったのですが、考えすぎでしょうか、、、

問題文にTo/From/Subject以外のヘッダはサービス側で付与されるとあります。
よって、DKIM署名で利用するDKIM-Signatureヘッダは送信者側で付与することはできません。
Tサービスに対応したDKIMの設定をSサービスに登録してもしなくても、そもそもTサービスではDKIMが通らないので効果がありません。

何をやっても、dkimを通すのは無理だからspfをクリアすれば良い(届く)ってことですね理解しました

設問１（1）A社ドメイン名   （2）インターネット
設問２  （わからず空欄）
設問３（1）エ （2）イ
設問４（1）悪意のあるスクリプトが実行されるような罠をしかける、的な答え。
      （2）メール：従業員の個人情報や、具体的な業務内容が記載されたメール。
           攻撃：従業員になりすましたフィッシング攻撃、的な答え。
      （3）ア
設問５
  （１）Tサービスからのメールの送信元SMPTサーバのIPアドレスを、SサービスのDNSに追加する。
  （２）  SPF：メールの送信元であるY社サーバのIPアドレスが、Sサービスに登録しているIPアドレスと一致しないため、的な答え。
          DKIM：通番情報の付加により、DKIMの署名対象であるメールヘッダ及び本文が変更され、署名のハッシュ値と一致しなくなるため。
****

初試験ですが自信ないです。
SMTP over TLSは知っていたのにその略称かぁと思いました、なぜここだけ文字数制限・・

>>ゆーぼ様
その回答はエンベロープfromにZ社ドメインが入るって前提かと思います。例えばAmazonSESだとデフォルトでエンベロープfromにはamazonses.comが入るので、もしT社が同様にT社ドメインをエンベロープfromに入れてる前提だったらSサービスに何を登録しても変わらないと思います。

その前提が書いてないので、「こうだったらspfで通す、こうだったらdkimで通す」みたいな回答になるんじゃないかと。そもそもSPFもDKIMも関係ねーよ！ってなる線もあるかもですが。。。

どひゃー、大問2と3選んだけど2難しかった
試験会場で貧乏ゆすりの左右足デュアルシステム(両方常に現用系)が前に居て集中力奪われたのもちょい影響
せめて片方は待機系でよろ
大問2は体感7割って感じか、
皆んな出来栄えはどんな感じなんだろ

1-1.1-2はどちらもspfは失敗です。1-1はdkim成功してるから不達問題は起きない。1-2はどちらも失敗だから不達の理解。1-2でdkim失敗するのはヘッダー部分に無駄な情報追記することで署名検証に失敗するからです！

てか4(2)の続きの攻撃とかの部分、解答の幅が広すぎて間違える方が難しそう。

設問四の3も家帰ってからなぜか（ア）にしなかったことに気づいて大後悔、ここミスったらきついなぁ、うわあああああ

よくよく問題をみたら

問5(1)は
送信側の処理について書かれているので
Tサービスにレコードを追加する系の処理は間違いですね…

Z社はTサービス経由で送付する送信側なので、レコード追加は送信者側が行う処理ですね。

>>ゆーぼさん

そうしたらレコード追加系の答えであってるということですかね…？

メールの内容と攻撃、業務で用いる社外サービスなんてメールマガジンしかないしょ...って思ってたけど、よく読むと「社外サービスが『あったとする」  』」なのね。
想定して自由に書けって話ですか。はあ。

>>たけ様
表3項番3を見直す～と下線に書いてあり、
その部分がレコードに関連する設定部分なので、
SPFレコードに関する答えが想定されている物と思われます。
DKIMはそもそもDKIM署名ヘッダをサービスで付与できない為に変更しても効果が無く、
DMARCヘッダは同下線部分では不達に関係していないので、
Z社ドメイン名と対応するSPFレコードにTサービスからメールを送る際の送信元IPアドレスを登録する旨の回答が正解かと。(あと15分でTACの予想解答がでますね...!)

設問5(2)を普通に「SPFでの検証に失敗するため」というざっくり回答に部分点ください。分かってたんですよ。でもこの業界、実務でもあまりこまかいことぐだぐだいう人嫌われるじゃないですか。なので部分点ください。

部分点どころか、満点あげます！合格発表まで、枕を高くして休んでください！

設問4の問1問2について、Tacの解答見て不安になってるのですが、私も››112の方に近い回答していて、部分点くらいはもらえそうなんですかね…？
ここ全部ハネられると厳しいんですが…

>>ぽんです様
4(1)
  問題文冒頭で｢顧客向けの～｣と情報が示されていたために、
  TAC/itecの予測回答と同じ論点を述べる物だけが正答となる可能性が高いです。
  →問題文抜粋系の記述

4(2)
  問題の設問自体に｢受信するメールの内容及び続きの攻撃の"例を"～｣とあったり、
  設問の下線の前文で｢社外サービスに登録していた"とする"｣とあったり、
  解答幅がある事が明示されている上に、問題文で前提条件が示されていません。
  あまりに飛躍した解答をしていない限り、基本正答となる可能性が高いです。
  →知識ベースの記述

これまでの午後の過去問の設問方式や公式回答例から推測すると、
例えば、下記のような解答は満点をもらえる可能性が高いです。
①｢パスワード再設定に係るメール+それを悪用しアカウントへ不正ログイン｣
  ※TACやitecの予測回答
②｢A社限定で配信されていた機密情報を含むメール+それを不正に公開したり脅迫材料として用いて金銭を要求｣
③｢業務内容･システム構成等のA社従業員しか知り得ない情報を含むメール+それを用いたなりすまし･フィッシング･ビジネスメール詐欺｣

個人的には社外メールサービスからメールを受信する旨だけが記載されているので、
社外メールサービスで直接パスワード再設定等のアクションをメールを受信前に事前に取れるか否かは不明瞭な事から、TAC/itec予測回答は公式回答とは反れている感じがします。私もそう答えてしまいましたが...(上の②③が解答例として有力だと思います)

参考書では示される事が少ない技術的に踏み込んだキーワード問題がある程度あった事や、問5でSPFやDKIMの仕組みをしっかり理解した上で答える必要がある難易度が比較的高めな設問があった事から、4(2)については点数に下駄をはかせてあげるためのサービス問題(多くの解答が正解になる)として後付けされたような印象を持ちました。

››ゆーぼ様
詳細なご説明と問題考察ありがとうございます。。
問1の回答に至れなかったことが悔しいですが、問2が0点にはならなそうだけまだ希望が湧いてきました。。

設問2のプロトコル名ですけどTACitec共にSMTPSでしたけどSMTPをTLS暗号化する〜問題文からするとSMTPSとSTARTTLSどっちでもいいですよね？

ベスプラ的にはSMTPSかなと思いますが、問題文からすると個人的にはSTARTTLSでも間違いではないのかなって思っちゃいますね！

一般的に使われるSMTP over TLSの文字数が入らない様にわざと制限を設けたようにも見受けられたので、どちらかというと公式解答はSTARTTLSになるかと思われます。
SMTPSを想定した設問であれば上記のover TLSも入るように字数調整されるはずです。(同義の別解をわざわざ絞るような字数制限はこれまでされていなかったので。)

SMTPの暗号化について色々議論されていますが、問題文を読むと「SMTPをTLSで暗号化する<c>」と書かれているので、SMTPSが正解だと思われます。
が、RFCとか読んでみるとどっちでもいい気がしてきました。(投稿前に見直してたら…)

SMTPS(SMTP over TLS)はSMTPプロトコルに対する暗号化技術で、SMTP通信全体をTLSで暗号化します。

一方、STARTTLSはクライアントとサーバがSMTPを用いたやりとりをしている中でコマンドを発行し、特定のやり取りに対してTLSまたはSSLを用いて暗号化通信を実現する拡張機能になります。

SMTPのプロトコルとしては最初平文でのやりとりになりますし、IMAPやPOP3、FTPなどの他のプロトコルにも使用できるため、問題文に対する解答としてはズレているかなと考えています。

しかし、RFC3207「SMTP Service Extension for Secure SMTP over Transport Layer Security」内でSTARTTLSに関してしっかり書いてありますし、逆にSMTPSと言う用語は使われていなかったりしますので、なんとも言えない感じです。


まぁ、メール技術の素人が軽く調べて書いたことなのでご参考まで。

>>のら様
そうなんです。おっしゃるとおり、SMTPSは一般的に認知されている技術文書や規格文書で利用されたことが無い｢通称｣で、HTTPSのそれとは大きく用語としての地位が異なります(たまたま試験2日前にメール技術の復習をしていたため気づきました)。

試験当日、
｢SMTP over TLSか?｣
｢文字が入らん、通称だけどSMTPS入れとくか｣
｢いややっぱIPAが通称を出すか?、STARTTLSにしとくか｣
｢あやっぱSMTPSにしとこ｣となりSMTPSに落ち着きましたが、
試験直後の振り返りでやはりSTARTTLSがより最適解ではないかと後悔しました。

STARTTLSはSMTPに限らず各種平文でやり取りを行うプロトコルですが、
実質SMTPの暗号化技術としてより頻用される技術(業界標準的)である事と、
各プロトコル本来のポートを用いて日和見暗号化する技術ですが、
現在はMTA-STSというHTTPにおけるHSTS的な技術も普及しつつあるという点から(村山本で用語として掲載されていました)、STARTTLSが文脈により沿うかと思います。

ですが私個人としてはSMTPSも正答として受け入れてもらえると嬉しいです。4-5点は大きいですからね...

何もわからずhttpの暗号化はhttpsのノリで苦し紛れにSMTPsって書いた自分を褒めたい。いうて2点とかだと思うので、これが合否を左右することはないかなと楽観的に見てます。

私はメールセキュリティの勉強を全くしていなかったので、この問題は選択ミスかと思いました。
SMTPSというキーワードをなんとなく記憶していただけで、STARTTLSなんぞ聞いたこともありませんでしたしw

ただ、問題をよく読むと用語の解答以外は推測できる部分が多く、それなりにできた印象。
タグだとかレコードの書き方は知らないのでもちろん間違えましたが、それ以外まずまずの出来かなと思われます。

12/26が待ち遠しい…

SMTPSが不正確とかだったら暴動が起きるでしょ。流石にそんな屁理屈はしないと思う。揚げ足取りゲームしてるわけじゃないんだから。
なんか、細かい字句のところで、何が正解、何なら間違いとかいう表現がありますが根本的に字数制限の撤廃や前々回の「あなたの知見に基づいて」などの設問を見るに出題者が評価してるのは、概念として間違っていないか？ということだと思います。

私自身もSMTPSが正解であれば嬉しいは嬉しいですが(点数をもらえるので)、
STARTTLSも知っていた人、両方を知っていてSMTPSを切った人、
SMTPSしかしらなかった人の3者がいたとしたら、
一番最初の人がより深く勉強していたと考えられるため、
より多くの点数をもらうべきです。
(ほぼ確実にSTARTTLSを知っていてSMTPSを知らなかった人は熟度的にいないかと。)

当該設問について字数制限が明確に設けられていたのには、
意義があるように思われます。

あとSMTPSが実務で利用される事は稀です。
より多くのメーラ･メールサーバがSTARTTLSをサポートしており、
追加のFW設定が不要である事や相手側が対応していなくても通信が遮断されない事から、
STARTTLSがデファクトスタンダードです。
そういった意味でも、実際に実務で使っているかを問う設問だったとも捉えることが出来ます。
(恐らく参考書等でもSMTP over TLSと表記する者はあってもSMTPSと通称を記載する物は少ないかと思われます。)

まあ合格点を取れればいいんですけどね。

STARTTLSの方が緩いですからね。使ってるところは多いとは思います。
しかし、これはセキュリティの試験です。ゆるゆる性善説のSTARTTLSではなく
SMTPSと書こうというのも見方を変えればベストな回答ではないでしょうか？
今回、取引先にメールサーバの仕様見直して！といってるところもあります。
外部巻き込んでここまでメールサーバ固めておいて、実は取引先がSTARTTLS
対応してなくて平文ダダ漏れでしたとか、そんなことがないように、と考えると
STARTTLSって書くのを敢えてやめた人もいるかと思います。
なので文脈的にいって、どちらでも十分満点と言えるかと思います。