設問3 [送信利用者認証機能に関する具体的な検討]について、X案で、POP3の認証を行わなくてもメールを送信できる状況を55字以内で具体的に述べよ。
公式解答例:製造部のDPCで、ある従業員がPOP3認証された後の一定時間内に、他の従業員がログインした場合(51文字)
公式解答例:POP3認証を行ったNPCのIPアドレスが、認証後の一定時間内に他のNPCに割り当てられた場合(48文字)
解説
POP before SMTPの脆弱性(欠点)に関する問題です。
POP before SMTP の前提となっている仮定が必ずしも成り立たないケースも存在する。すなわち、POP3認証を通過した正規利用者と同じIPアドレスで接続してきた利用者が、正規とは限らないケースである。一例として、多数の利用者をNAT環境下に収容しているISPから接続した場合が相当する(NAT環境下では、多数の利用者が単一もしくは少数のグローバルアドレスを共有するため)。また、個人向けインターネット接続サービスでは、同じISP内部の利用者間でIPアドレスを使いまわしている場合がほとんどである。しかし、POP before SMTP は厳密な利用者認証が目的ではなく、ISP外部からの中継(送信)用メールサーバの意図的な不正利用を十分に困難にすることができればよいとされ(実際、同じNAT環境下の他の利用者が、どのISPのメールサーバに対してPOP認証を最近完了したかを知ることや、POP認証を実行した利用者のIPアドレスと同じアドレスを限られた時間内で取得することは、一般利用者の立場では困難である)、2006年現在、POP before SMTP は多くの ISP で採用されている。
POP before SMTPは、POP認証の通ったIPアドレスに一定時間SMTP転送を許可する仕組みのため、NATによる同一のIPアドレスで複数の利用者が混在する場合や、DHCPによるIPアドレスの使い回しでSMTPを許可しているIPを別の利用者が取得した場合、メールの送信を許してしまうことがあります。これらを前提として本文を見て行きましょう。
本文抜粋
Jさんは、PCからのメール送信方法が現在と変わらないX案を採用したいと、H主任に説明した。H主任は、W社におけるPC及びメールの利用状況を考慮すると、X案では、POP3の認証を実行しなくてもメールを送信できる場合があり、課題が解決できないことを指摘した。H主任の指摘を踏まえて、Y案が採用されることになった。
表1 PCの貸与状況
| 部門名 |
貸与状況 |
| 経営管理部、人事総務部、営業部、情報システム部 |
1名につき、1台のノートPC(以下、NPCという)を貸与 |
| 営業所 |
1名につき、1台のNPCを貸与 |
| 開発部 |
1名につき、1台のデスクトップPC(以下、DPCという)を貸与 |
| 製造部 |
5名のメンバで構成される作業グループごとに、1台の共用DPCを貸与 |
PCのIPアドレスはDPCには固定的に割り当て、NPCには、L3SWのDHCPリレーエージェント機能によって動的に割り当てている。
「PC及びメールの利用状況を考慮」とありますが、大きなヒントになるのはPCの貸与状況です。まずW社ではNPCとDPCがあり、DPCには固定IPアドレス、NPCにはDHCPによる動的割り当てです。そして、もう一つのヒントが「製造部の、1台の共用DPC」です。NCPはDHCPによる動的割り当てなので、当然上記のPOP before SMTPの欠点に含まれますが、DPCの固定IPでも複数の利用者が共用しているのであれば、「PCは同じだが利用者は別々」という事になります。
DHCPに着目した公式解答例が「POP3認証を行ったNPCのIPアドレスが、認証後の一定時間内に他のNPCに割り当てられた場合(48文字)」、
共用PCに着目した公式解答例が「製造部のDPCで、ある従業員がPOP3認証された後の一定時間内に、他の従業員がログインした場合(51文字)」です。
最終更新:2013年09月15日 23:28
