HOME»情報処理安全確保支援士掲示板»平成26年秋 午後Ⅰ 設問1⑵
投稿する
[1072] 平成26年秋 午後Ⅰ 設問1⑵
Eさん(No.1)
IPAの模範解答に、追加するフィルタリングルールに
ドメイン名の記述が無いのは何故でしょうか。
知見のある方、ご回答お願いします。
ドメイン名の記述が無いのは何故でしょうか。
知見のある方、ご回答お願いします。
2023.04.02 00:38
pixさん(No.2)
★SC ダイヤモンドマイスター
質問は「平成26年秋 午後Ⅰ『問3』 設問1(2)」でしょうか。
マルウェアYが検出されたメールはM社のドメインを騙ったなりすましメールです。
通常M社のドメインのメールは社内メールなので、社内メールサーバで処理されます。
外部メールサーバで処理されることはないため、外部メールサーバにM社のドメインの
メールが来た場合は不審メールと判断することにしました。
その設定が、以下です。
①ブラックリスト:「M社のドメインを拒否」
①の設定により外部からの不審なメールは拒否されるようになりました。
しかし、例外が一つありました。
外部のクラウドにあるサービスX内のメールサーバZは製品紹介のメールをM社の
メールアドレス(M社のドメイン)を利用して、M社営業部部員全員に送信します。
このメールは①の設定により拒否されてしまいます。
この問題を解決するために、例外設定として
②ホワイトリスト:「メールサーバZのIPアドレスを許可」
しました。
最終的に以下のような設定になりました。
①ホワイトリスト:「メールサーバZのIPアドレスを許可」
②ブラックリスト:「M社のドメインを拒否」
ホワイトリストとブラックリストはホワイトリストが優先されるため、
メールサーバZから送信されたメールは①で無条件に許可されることになります。
それ以外のM社のドメインを騙ったメールは②で全て許可されます。
もし、スレ主様の疑問のようにホワイトリストにドメイン名を追加してしまうと、
①'ホワイトリスト:「M社のドメインを許可」
②ブラックリスト:「M社のドメインを拒否」
となり、ホワイトリストでメールサーバZを判別することができなくなり、かつ、
外部からのM社のドメインを騙ったメールが無条件で許可されてしまうことに
なります。
これは意図とは違う設定になってしまいます。
マルウェアYが検出されたメールはM社のドメインを騙ったなりすましメールです。
通常M社のドメインのメールは社内メールなので、社内メールサーバで処理されます。
外部メールサーバで処理されることはないため、外部メールサーバにM社のドメインの
メールが来た場合は不審メールと判断することにしました。
その設定が、以下です。
①ブラックリスト:「M社のドメインを拒否」
①の設定により外部からの不審なメールは拒否されるようになりました。
しかし、例外が一つありました。
外部のクラウドにあるサービスX内のメールサーバZは製品紹介のメールをM社の
メールアドレス(M社のドメイン)を利用して、M社営業部部員全員に送信します。
このメールは①の設定により拒否されてしまいます。
この問題を解決するために、例外設定として
②ホワイトリスト:「メールサーバZのIPアドレスを許可」
しました。
最終的に以下のような設定になりました。
①ホワイトリスト:「メールサーバZのIPアドレスを許可」
②ブラックリスト:「M社のドメインを拒否」
ホワイトリストとブラックリストはホワイトリストが優先されるため、
メールサーバZから送信されたメールは①で無条件に許可されることになります。
それ以外のM社のドメインを騙ったメールは②で全て許可されます。
もし、スレ主様の疑問のようにホワイトリストにドメイン名を追加してしまうと、
①'ホワイトリスト:「M社のドメインを許可」
②ブラックリスト:「M社のドメインを拒否」
となり、ホワイトリストでメールサーバZを判別することができなくなり、かつ、
外部からのM社のドメインを騙ったメールが無条件で許可されてしまうことに
なります。
これは意図とは違う設定になってしまいます。
2023.04.02 07:11