送信ドメイン認証により防げること
広告
けんとさん
(No.1)
令和元年秋期午後問題情報セキュリティに出題された送信ドメイン認証についての記述に疑問がございます。
■疑問を持った記述内容
※Cとは送信元メールアドレスのなりすまし
■今回の出題内容
標的型メールの被害にあった会社:P社
不審メールのアドレス:P社以外のドメイン★ここ重要
不審メールの差出人:P社総務部のX部長
■私の考え
今回の不審メールは送信ドメイン認証で検知できないと考えております。
理由は次の通りです。
送信ドメイン認証により確認できることは次のように記載あります。
(解説より引用)
今回の送信元メールアドレスはP社以外のドメインのため適当なIPを紐づけて、送信側ドメインの管理者が設定しておけば送信ドメイン認証はクリアしてしまうと考えております。
以下参考
■送信ドメイン認証により防げ"る"こと(私の理解ベース)
□P社
ドメイン:pxxx.co.jp
IP:xxx.xxx.xxx.001
※送信側DNSサーバに設定済み
□なりすまし
ドメイン:pxxx.co.jp ★P社ドメインと一致
IP:xxx.xxx.xxx.002
※送信側DNSサーバに設定されていない
■送信ドメイン認証により防げ"ない"こと(私の理解ベース)
□P社
ドメイン:pxxx.co.jp
IP:xxx.xxx.xxx.001
※送信側DNSサーバに設定済み
□なりすまし
ドメイン:sub.pxxx.co.jp ★P社ドメインと異なる
IP:xxx.xxx.xxx.002
※送信側DNSサーバに設定済み
以上となります。よろしくお願いいたします。
■疑問を持った記述内容
>送信ドメイン認証は,メールの【C】を検知することができます。導入すれば,今回の不審メールは検知できたと思います。
※Cとは送信元メールアドレスのなりすまし
■今回の出題内容
標的型メールの被害にあった会社:P社
不審メールのアドレス:P社以外のドメイン★ここ重要
不審メールの差出人:P社総務部のX部長
■私の考え
今回の不審メールは送信ドメイン認証で検知できないと考えております。
理由は次の通りです。
送信ドメイン認証により確認できることは次のように記載あります。
>受信したメールの送信者メールアドレスのドメイン名と送信元IPアドレスが、送信側ドメインの管理者が設定したものと一致するかどうか
(解説より引用)
今回の送信元メールアドレスはP社以外のドメインのため適当なIPを紐づけて、送信側ドメインの管理者が設定しておけば送信ドメイン認証はクリアしてしまうと考えております。
以下参考
■送信ドメイン認証により防げ"る"こと(私の理解ベース)
□P社
ドメイン:pxxx.co.jp
IP:xxx.xxx.xxx.001
※送信側DNSサーバに設定済み
□なりすまし
ドメイン:pxxx.co.jp ★P社ドメインと一致
IP:xxx.xxx.xxx.002
※送信側DNSサーバに設定されていない
■送信ドメイン認証により防げ"ない"こと(私の理解ベース)
□P社
ドメイン:pxxx.co.jp
IP:xxx.xxx.xxx.001
※送信側DNSサーバに設定済み
□なりすまし
ドメイン:sub.pxxx.co.jp ★P社ドメインと異なる
IP:xxx.xxx.xxx.002
※送信側DNSサーバに設定済み
以上となります。よろしくお願いいたします。
2024.03.23 11:13
pixさん
★AP シルバーマイスター
(No.2)
> □なりすまし
> ドメイン:sub.pxxx.co.jp ★P社ドメインと異なる
> IP:xxx.xxx.xxx.002
> ※送信側DNSサーバに設定済み
「ドメイン:sub.pxxx.co.jp」は「P社ドメイン:pxxx.co.jp」の
サブ(子)ドメインです。
攻撃者はこのサブ(子)ドメインの取得&サブ(子)ドメイン用のDNSサーバを
用意する権利はありません。
そのため、攻撃者は「ドメイン:sub.pxxx.co.jp」のメールになりすますことが
できません。
ドメインは、階層構造になっており、階層ごとに管理者が厳密にきめられている
ことが理由になります。
そのため、攻撃者は勝手に「ドメイン:sub.pxxx.co.jp」を取得することは
できません。
もしなりすましをするのであれば、攻撃者は
「ドメイン:pxx.co.jp」などの、「P社ドメイン:pxxx.co.jp」に似たドメインを
取得して、受信者に誤認させるという手法が一般的です。
これら似たドメインはドッペルゲンガードメインとばれる攻撃手法になります。
2024.03.23 13:18
けんとさん
(No.3)
この投稿は投稿者により削除されました。(2024.03.23 14:28)
2024.03.23 14:28
けんとさん
(No.4)
回答ありがとうございます!!
そもそもの認識誤っていましたね、、下記理解できました!
ちなみに、送信ドメイン認証により下記のドッペルゲンガードメインによる攻撃を防ぐことはできるのでしょうか?
送信ドメイン認証により防げるのは下記のため、ドッペルゲンガードメインでも適切に設定されていれば防げない認識です。。。
そもそもの認識誤っていましたね、、下記理解できました!
> そのため、攻撃者は勝手に「ドメイン:sub.pxxx.co.jp」を取得することは
> できません。
ちなみに、送信ドメイン認証により下記のドッペルゲンガードメインによる攻撃を防ぐことはできるのでしょうか?
> 「ドメイン:pxx.co.jp」などの、「P社ドメイン:pxxx.co.jp」に似たドメインを
> 取得して、受信者に誤認させるという手法が一般的です。
> これら似たドメインはドッペルゲンガードメインとばれる攻撃手法になります。
送信ドメイン認証により防げるのは下記のため、ドッペルゲンガードメインでも適切に設定されていれば防げない認識です。。。
>受信したメールの送信者メールアドレスのドメイン名と送信元IPアドレスが、送信側ドメインの管理者が設定したものと一致するかどうか
2024.03.23 14:35
pixさん
★AP シルバーマイスター
(No.5)
>送信ドメイン認証により防げるのは下記のため、ドッペルゲンガードメインでも適切に
>設定されていれば防げない認識です。。。
はい。おっしゃる通りです。
ドッペルゲンガードメインによるなりすましは、送信ドメイン認証でも防げません。
SCの試験でですが、送信ドメイン認証への攻撃者の対抗策としてドッペルゲンガー
ドメインを用いたメールアドレスを誤認させる攻撃が出題されたこともあります。
2024.03.23 14:45
けんとさん
(No.6)
ありがとうございます。
「なりすましメール」と「ドッペルゲンガードメイン」を混同して考えていたことにより、私が誤った認識を持っておりました。
今回理解したことのメモを記載します。
■なりすましメール
→ヘッダ情報が詐称されている
ヘッダ情報とIPが異なるため送信ドメイン認証により検出可能
参考:cloudsign.jp/media/narisumashimail/
■ドッペルゲンガードメイン
→似たドメインが使用されている
ヘッダ情報とIPが一致する場合があり、その場合送信ドメイン認証検出不可
「なりすましメール」と「ドッペルゲンガードメイン」を混同して考えていたことにより、私が誤った認識を持っておりました。
今回理解したことのメモを記載します。
■なりすましメール
→ヘッダ情報が詐称されている
ヘッダ情報とIPが異なるため送信ドメイン認証により検出可能
参考:cloudsign.jp/media/narisumashimail/
■ドッペルゲンガードメイン
→似たドメインが使用されている
ヘッダ情報とIPが一致する場合があり、その場合送信ドメイン認証検出不可
2024.03.23 15:21
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。