こんにちは、 aintekのkawaiです。
4月16日に行われる情報処理技術者試験で、情報処理安全確保支援士を取得するべく学習したことをまとめます。

脆弱性とは

情報の漏洩や改ざん等のリスクを拡大させる要因を指します。
→脆弱性とくれば、リスクを拡大させる要因

ソフトウェアの脆弱性を評価するには

ソフトウェアに関する脆弱性を収集する手段として、JVN（Japan Vulnerability Notes）を利用する方法があります。
なお、JVNは以下の３つの特徴があります。

• CVE（共通脆弱性識別子）
• CWE（共通脆弱性タイプ一覧）
• CVSS（共通脆弱性評価システム）

CVEは脆弱性を識別するための識別子を規定し（そのまんま！）、
CWEはSQLインジェクションやCSRFといった脆弱性をタイプ別に体系化し、
CVSSは脆弱性の深刻さを評価します。

→JVNとくれば、CVE・CWE・CVSS

特にCVSSは、評価の仕組みとして次の3つの規準を持っています。

• 基本評価基準
• 現状評価基準
• 環境評価基準

基本評価基準は、安全性・機密性・完全性に対する評価を行います。
現状評価基準は、攻撃の有無や対策の有無を評価します。
環境評価基準は、 攻撃による被害の大きさ等を評価します。

→CVSSとくれば、{基本・現状・環境}評価基準

脆弱性のそれぞれ
以下では、

• ネットワーク
• Email

に関する脆弱性とその対策について説明します。

ネットワークにおける脆弱性
ネットワーク構成においても、

• 機密性
• 完全性
• 可用性

の点に着目することは重要です。

例えば、機密性への対策としては、
ネットワークセグメントの分割
セグメント間のスイッチ・ルータによる制御
が考えられます。
また、

• ネットワーク帯域の十分な確保
• ネットワーク機器の冗長化

など、可用性への対策も必要です。

Emailにおける脆弱性

Emailのプロトコルには、送信にSMTPが利用され、受信にPOP3やIMAPが利用されます。

旧来のメールサーバでは、SMTPにおけるユーザ認証が存在しなかったため、第三者中継（オープンリレー）という、本来受け付けるはずのない第三者のメールを受け付けてしまいます。

→SMTPとくれば、第三者中継（オープンリレー）

上記のようなメールサーバ（オープンリレーメールサーバ）は、スパムメールの送り主として登録されてしまう場合があるので注意したい。。。

また、SMTPを悪用した例として、NDR（配信不能通知）スパムが存在します。
これは、メールの宛先が不正な場合、送信者にメールが返ってくる仕組みを利用したものです。
具体的には、

• スパマーが、ターゲットを送り主として設定したスパムメールを作成
• スパムメールの宛先は、存在しないメールアドレスを設定
• メール本文には不正なリンクやマルウェアを仕込み、送信する

ことで実現できます。

SMTPに関する対策としては、

• 発信元の制限
• SMTP-AUTH等のユーザ認証
• OP25Bという、25番ポート宛てのSMTPパケットを破棄する方式
• ディジタル署名による送り主のSMTPサーバを認証
• SPFによる、DNSに登録したメールサーバのみを許可する仕組み

を行うことです。

→SMTPの対策とくれば、ユーザ認証、OP25、ディジタル署名、SPF

まとめ

今回は、脆弱性の説明に始まり、ネットワークとEmailに関する脆弱性と対策について勉強しました。
間違いなどあれば、ご指摘下さいませー。

以上。