FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説
問題
B社では,自社をかたるフィッシングメールが顧客に送られ,偽サイトへ誘導される被害が報告された。B社が送るメールと偽メールを顧客が区別できず,B社の信頼にも影響している。B社は,自社ドメインから送られたメールであることを受信側が検証でき,検証に失敗したなりすましメールの扱いを送信側として表明したいと考えている。
対策として,最も適切なものはどれか。
- ア 顧客に対し,メールを一切見ないよう依頼する。
- イ SPF・DKIMを設定したうえでDMARCのポリシーを公開し,認証に失敗したなりすましメールの扱い方針を受信側へ示す。
- ウ メールの送信時刻を深夜に固定する。
- エ メール本文の文字数を制限する。
- オ 顧客のメールアドレスを長いものへ変更してもらう。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲
正解と解説
正解:SPF・DKIMを設定したうえでDMARCのポリシーを公開し,認証に失敗したなりすましメールの扱い方針を受信側へ示す。
正解:イ
状況の整理:自社をかたるフィッシングで顧客が偽サイトへ誘導されている。受信側が正規メールを検証でき,かつ送信側として「失敗メールをどう扱ってほしいか」を表明したい,という要件。
なぜイか:SPF・DKIMで送信元の正当性を検証可能にし,DMARCのポリシー公開で,認証に失敗したなりすましメールの扱い(隔離・拒否など)を受信側へ示せる。要件に合致した送信ドメイン認証。
誤答の理由:ア(メールを見ない依頼)・オ(顧客アドレス変更)は非現実的で本質を外す。ウ(送信時刻固定)・エ(文字数制限)はなりすまし判別と無関係。
読み解きのコツ:「検証+失敗メールの扱いの表明」が論点ならDMARC。SPF/DKIMと組み合わせて選ぶ。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。