問3 標的型攻撃メールへの対応に関する次の記述を読んで、設問1~3に答えよ。

 Z社は、従業員数300名の家具卸売会社であり、メーカ10社から商品を仕入れ、小売店20社に販売している。Z社のインターネット接続環境はインターネット上のWebサイトにアクセスしたり、電子メール(以下、メールという)を送受信したりしている。メールの送受信のために、インターネットドメイン名z-sha.co.jpを取得している。z-sha.co.jpのゾーン情報は、外部業者の保有するDNSサーバに登録し、管理を委託している。


  • PC
 PCからのインターネット利用は、ブラウザによるWebアクセスと、メールクライアントによるメール送受信に限定する。
  • AUT
 従業員のアカウント管理用ディレクトリを保有する。DNSサーバとして、社内で利用するイントラネットドメインのゾーン管理を行い、社内のPCに対して、社内サーバのFQDNの名前解決を提供する。
  • PRX
 PCからのインターネットへのWebアクセスを中継する。WebサイトからPCにダインロードされるファイルのうち、暗号化されていないものに対してウイルススキャンを行う。
  • MX2
 社内向けメールサービスを提供する。従業員は、メールクライアントからメールの送受信を行う。MX2は各従業員のメールボックスを管理する。
  • MX1
 社外のメールサーバとMX2間のメール転送を行う。暗号化された添付ファイルを除くメールのウイルススキャン、及びウイルスを検知したメールの隔離を行う。
  • FW
 社内とインターネットとの間の通信制限を行う。具体的には、社内とインターネットとの間の通信は次の3種類だけを許可する。
  • PCからPRX経由のインターネット上のWebサイトへのアクセス。
  • MX1とインターネットとの間のメール転送
  • PRX及びMX1からインターネットへのDNS通信
 社内とインターネットとの間の通信には、グローバルIPアドレスz.y.x.1をNATアドレスとして使用する。
注記 上記のサーバ及びPCにはウイルス対策ソフトが導入されている。

図2 Z社のインターネット接続環境の概略


[不審なメールへの対応]
 Z社では、セキュリティ強化のために、従業員教育に力を入れており、次の点について繰返し研修を行っている。
  • 不審な添付ファイルは開かないなどのメールの閲覧に関する注意事項
  • 不審なメールが届いた場合の、社内のセキュリティデスクへの通報手段
  • PC環境の適切なアップデート方法

 ある日、営業部のA君からセキュリティデスクに対して、次のような通報があった。”メーカY社のB氏のメールアドレス(b-shi@y-sha.co.jp)からメールが届いたが、直前までY社内でB氏と打合わせをしており、疑念を抱いた。そのメールは、記載されている社名、部署名、氏名及びメールアドレスが全て正しかったが、念のためB氏に確認したところ、ヤスリ送信していないとのことだったので、不審なメールであると判断した。”
 なお、Y社には、メールサーバを含む情報システムを国内で運用している。
 メールには文書ファイルが添付されていたが、A君は、日頃の研修を思い出し、添付ファイルを開かずに、セキュリティデスクに通報していた。さらに、この添付ファイルを開くためのパスワードだと記入されたメールを直後に受信したので、それもセキュリティデスクに報告した。1通目の不審なメールのヘッダを図3に示す。

Return-Path: <b-shi@y-sha.co.jp>
Delivered-To: a-kun@z-sha.co.jp
Received: from mx1.z-sha.co.jp(mx1.z-sha.co.jp [□□.△△.○○.▽▽])
          ;by mx2.z-sha.co.jp (smtp) with ESMTP id ■■
          ;for <a-kun@z-sha.co.jp>; Fri, 27 Jan 2012 17:38:12 +0900 (JST)
Received: from smtp.y-sha.co.jp (unknown [80.◎◎.◇◇.☆☆])
          ;by mx1.z-sha.co.jp (smtp) with ESMTP id ▲▲
          ;for <a-kun@z-sha.co.jp>; Fri, 27 Jan 2012 17:38:10 +0900 (JST)
Received: from mail.y-sha.co.jp(localhot [127.0.0.1])
          ;by smtp.y-sha.co.jp (smtp) with ESMTP id ●●
          ;for <a-kun@z-sha.co.jp>; Fri, 27 Jan 2012 9:37:58 +0100 (CET)
Date: Fri, 27 Jan 2012 9:37:58 +0100
Message-ID: <▼▼>
From: b-shi@y-sha.co.jp
To: a-kun@z-sha.co.jp
Subject: ◆◆
注記1 Y社のインターネットドメイン名はy-sha.co.jpである。
注記2 図中の□□、△△、○○、▽▽、◎◎、◇◇、☆☆は特定の数字を表し、■■、▲▲、●●、▼▼、◆◆は特定の英数字と記号を含むASCII文字列を表す。

図3 1通目の不審なメールのヘッダ


 セキュリティデスクで図3のヘッダを調べ、不審な点として、【 a 】と【 b 】から、偽メールと判断した。ただし、ヘッダは、途中で書き換えられた機能性を否定できないことと、【 b 】については、経由するサーバの設定が必ずしも正しいとは限らないことの2点から、悪意のある攻撃メールの疑いはあったが、そうだと断定はできなかった。
 セキュリティデスクは、支援契約を結んでいるセキュリティ専門会社に、添付ファイルとパスワードを提示し、調査を依頼した。後日、添付ファイルは、マクロ機能を使ったスパイウエアであることが判明した。

[メールアドレスの偽装と対策]
 しばらくたったある日、今度はY社情報システム部からA君に対して、”あなたが差出人の不審なメールが届いた。そのメールを添付したので、確認して欲しい”という問合わせメールが届いた。添付されていたメールは、A君が開いて確認すると、確かにA君が差出人になっていたが、心当たりのないものだった。そのメールには添付ファイルはなかったが、本文に社外サイトへのリンクが記入されていた。A君がリンクをたどったところ、やはり心当たりのない社外サイトであった。A君はこの事態をセキュリティデスクに通報した。
 セキュリティデスクで調査した結果、何者かがA君を装った偽メールをY社に送信し、不審サイトに誘導しようとしたと判断した。Y社に調査結果を連絡するとともに、セキュリティ専門会社になどにも連絡した。
 Z社では、相次ぐ偽メールに危機感が高まり、情報システム部が中心になって、メールアドレスの偽装について対策を強化することになった。情報システム部のP部長は、まず、送信ドメイン認証技術についての検討をS主任に指示した。


 S主任は検討した結果をP部長に報告した。次は、その時のP部長とS主任の会話である。

P部長:メールアドレスの偽装はどのように阻止すればよいのだろうか。

S主任:当社のメールアドレスを偽装したメールの発信を、技術的対策で阻止することは難しいと思います。しかし、送信ドメイン認証技術を使えば、当社から正規に送信されたメールかどうかを、受信側で検証できます。ただし、当社が採用した送信ドメイン認証技術に、受信側のメールサーバが対応している必要があります。送信ドメイン認証技術の候補としては、普及率を考慮してSPF(Sender Policy Framework)がよいと思います。Y社をはじめとする主要取引先と、導入について協議してみてはどうでしょうか。

P部長:なるほど。SPFの導入に際して、どんな作業が必要になるのかね。

S主任:z-sha.co.jpのゾーン情報を管理しているDNSサーバに、図4に示すTXTレコードを登録します。当社のメールサーバの設定変更は不要です。

P部長:偽装したメールかどうかはどのように判定するのかね。

S主任:受信側のメールサーバが、【 c 】中のSMTPの【 d 】コマンドの引数で指定されたアイデンティティのうちドメイン名の部分を基に、DNSサーバに問合せを行い、SMTP接続元のIPアドレスと比較します。

P部長:分かった。メールを頻繁に送受信する取引先と協議を始めることに使用。

z-sha.co.jp. IN TXT "v=spf1 +ip4:【 e 】 -all"

図4 登録するTXTレコード


[標的型攻撃への対策]
 P部長とS主任は、送信ドメイン認証技術の導入を進める一方、標的型攻撃への対策についても検討を行った。


P部長:今回のA君の対応はどうだったかな。

S主任:A君は研修を熱心に受け、この前の不審なメールへの対応は万全でした。しかし、今回のY社情報システム部からの問合せメールについては、①A君の対応は不適切でした。今回は幸運でしたが、被害が出る可能性がありました。Y社からの問合せなので油断したのかもしれません。

P部長:標的型攻撃の恐ろしいいところだな。しかも、攻撃が巧妙化していけば、阻止しようとする対策だけでは限界がある。もし攻撃が成功したとしても被害を最小限に留めるための対策も必要になる。

S主任:典型的な標的型攻撃では、(A)ウイルスが、様々な方法で社内に侵入し、(B)社内で感染を拡大させ、(C)感染したPC及びサーバのアクセス権を入手して情報収集を行います。このとき、ウイルスの活動によって異常なトラフィックが発生したり、PC又はサーバが異常な振る舞いをしたりすることもあります。その後、(D)収集した情報をネットワーク経由で攻撃者に報告します。

P部長:そうだな。このような被害の拡大をどこかで断ち切れるように対策を強化していこう。

S主任:はい。(A)については、MX1及びPRXにウイルス対策ソフトを導入しており、(B)についてはPC及びサーバにウイルス対策ソフトを導入しています。(C)については②PC又はサーバの監視強化を検討します。(D)は、バックドア通信と呼ばれるものですが、対策は簡単ではありません。

P部長:つまりどういうことかね。

S主任:バックドア通信については、③当社のネットワーク設定で既に遮断できる通信もあります。しかし、例えば、ウイルスがWebアクセスの通信パターンを模倣して行う通信については、現在のところ防げません。これに関しては、④更なる対策を検討していきます。

P部長:そうか、引き続き、バックドア通信について対策を検討してくれ。


 Z社では、こうした議論を踏まえ標的型攻撃への対策の強化を進めた。

設問1 [不審なメールへの対応]について、本文中の【 a 】、【 b 】に入れる適切な字句を解答群の中から選び、記号で答えよ。解説・回答
ア Y社が国内で運用しているはずのメールサーバのタイムゾーンが、日本ではなく海外になっている点。
イ Y社とZ社間で中継サーバを経由した記録がなく中間経路を隠蔽する改ざんが行われている点。
ウ Y社のメールサーバのアドレスが、Y社のアドレスではなく、かつ、DNS参照が”unknown”になっている点
エ Z社のメールサーバのローカルアドレスではなく、Z社のグローバルアドレスが参照されており、NAT変換が無視されている点
設問2 [メールアドレスの偽装と対策]について(1)、(2)に答えよ。
(1) 本文中の【 c 】、【 d 】に入れる適切な字句を解答群の中から選び、記号で答えよ。解説・回答
ア EXPN
イ MAIL FROM
ウ RCPT TO
エ VRFY
オ メールエンベロープ
カ メールボディ
(2) 図4中の【 e 】に入れる適切な字句を図1~3中から選び答えよ。解説・回答

設問3 [標的型攻撃への対策]について、(1)~(4)に答えよ。
(1) 本文中の下線①について、A君の対応のうち、添付されていたメールを不用意に開いた点以外の不適切だった点を20字以内で述べよ。解説・回答
(2) 本文中の下線②に示したPC又はサーバの監視強化にはいくつかの方法が考えられる。監視強化のためのシステムを導入する場合、導入するシステムの名称及び設置場所を10字以内で答えよ。また、そのシステムで監視すべき事象を15字以内で答えよ。解説・回答
(3) 本文中の下線③で示したネットワーク設定を、図1中の機器名を二つ以上用いて、40字以内で具体的に述べよ。解説・回答???
(4) 本文中の下線④で示した更なる対策として考えられる具体的な手段を、40字以内で述べよ。解説・回答???

添付ファイル