【情報処理安全確保支援士】メールに関するセキュリティをまとめてみる

たこやき後輩

どうも、こんばんは。たこやきです。

今回は明日に迫った情報処理安全確保支援士の過去問を解いていて、少し知識不足だと感じたメール関連のセキュリティについて自分なりにまとめていきたいと思います。

メール自体はかなり身近なものなのですが、セキュリティ関係のワードはなかなかわかりづらいので、少しまとめてみたいと思います。

たこやき後輩

 明日の試験への詰め込みでございます。

参考までに僕の今までの経歴を簡単に書いておきます。

2017/3：大学(農学部)を卒業

2017/4：IT未経験で独立系のSIerに就職

2021/7：独立系のSIerを退職

2021/8：未経験でコンサル会社に就職　←　ｲﾏｺｺ

前回書いたDNSセキュリティの記事も興味があれば見ていただけますと幸いです！

【情報処理安全確保支援士】DNSに関するセキュリティをまとめてみる

たこやき後輩どうも、こんばんは。たこやきです。今回はあと2週間後に迫った情報処理安全確保支援士の過去問を解いていて、少し知識不足だと感じたDNS関連のセキュリティについて自分なりにまとめていきたいと思います。DNSは今このブログのURLを登...

uetsurashitaraku.com

2022.04.10

メールとは

たこやき後輩

一応メールとはと書いてみましたが、今や当たり前のもの過ぎますよね。スマホやPCが一人一台の時代でメールは切っても切り離せないものですね。

もう少し細かい仕組みで記載していくと以下の役割持つ昨日から構成されており、情報処理のテキストにも記載されております。

表のつながりとしては以下の図のようになるみたいです。

メールを送るときは、上記の各機能を経由して相手先に届けるので、各機能が中継した証拠にメールヘッダーと呼ばれる領域に情報を付与していくのですが、そこで情報を偽ったり書き換えたりする攻撃が起きるようです。

たこやき後輩

プログラム名も聞きなれないものが多いですが、OutlookやExchangeServerあたりはまだ身近ですね。

メールを利用した攻撃と対策

メールヘッダインジェクション

メールヘッダ・インジェクション攻撃は「お問い合わせフォーム」や「アンケート」などのようなWebページの機能を利用して、メールヘッダ部分の入力データを改ざんします。そして、メールの送信先を攻撃者の手で不正に操作し、不特定のメールアドレスに送り付ける攻撃のことをいいます。

たこやき後輩

Webページの管理者やメールの受信者が被害者となるわけです。

この攻撃への対策としては、外部からの入力は全てメール本文に設定するような設定にしたり、大尉策のとられて外部のAPIを利用したりすることが挙げられます。

標的型メール攻撃

こちらはメールを手段として、重要情報を盗み取る攻撃です。

昨今会社では当たり前にメールを利用するわけですが、特定の企業・組織、個人に関係者を装った電子メールを送り込むことで、受け取った受信者がメールに記載されたURLにアクセス、または添付ファイルを開かせるような攻撃を行います。

ウイルスに感染し、そこを入口として、ネットワーク内部の各種機器に対して更なる侵入行為を行ったり、内部関係者限りのメールを装って更なる標的型メール攻撃を仕掛けたりして、ネットワーク内部で高い権限を有するシステム管理者や上長などの認証情報や重要情報を盗みとります。

特定企業に絞って攻撃をするため、より巧妙ななりすましが行われます。

対策としては内部へのセキュリティ教育や訓練で、セキュリティ意識を高めておくことが大切です。

その他

上記以外にもメールは歴史的に長いこともあり、脆弱性が多くあります。普及するにつれて露呈した脆弱性や、高度な攻撃によるものなど脆弱性が発見され、それに対する対策がとられているので、新しいバージョンを使用したり、セキュリティ対策が十分に取られたメールサービスを利用することが重要です。

セキュリティ対策が取られていないと以下のような危険性があるので注意が必要です。

• 迷惑メールが届く
• 暗号化されていないメールの送信
• アカウント情報の漏洩

たこやき後輩

迷惑メールは誰もが遭遇しますよね。。。

まとめ

今回はメールのセキュリティに関してみてきました。

文章にしてみることでメールの仕組みであったり、メールを利用したり攻撃であったりの理解が腑に落ちた気がします。

当たり前に利用するメールなのでしっかり覚えておきたいと思います。

たこやき後輩

明日の試験頑張ります。

※本記事では解釈を間違えている場合もありますがそこはご了承ください。
可能であればコメントにてご指摘いただけますと幸いです。