第22回 第2部 第49問

WebブラウザでWebサイトにアクセスする際に、下図のような画面が表示されることがある。このような警告表示の対象となるサイトを１つ選びなさい。



ａ．著作権法に違反する動画・音楽コンテンツを公開しているサイト
ｂ．特定の人物や組織を誹謗中傷する記事を公開しているサイト
ｃ．電子証明書の有効期限が切れているサイト
ｄ．不正プログラムに感染させようとするサイト

「これはもうサービス問題だよね。」


「まあ、そうだけどしっかり覚えて点数をとってほしいんだ。」


「回答は『ｄ』だと思うけど、『ｃ』もちょっと気になるなぁ。」


「なるほど。」
「まず簡単に除外できるのが、『ａ』と『ｂ』なのはＯＫかな？」
「これははパソコンで判定できる内容じゃないからね。」

「じゃあ、『ｃ』はー？」
「そもそも電子証明書に有効期限ってあるの？」

「もちろんあるよ。」
「取得する時に必要な期間に応じて有効期限を決めるんだ。」

「あ、そうなんだ。」
「なんか定期券みたいだね。」


「発行する認証局や期限によって値段が違うので、無駄に長い期間の分を買うともったいないからね。」

「そうか、キャンペーンサイトとか短期間だけのページもあるしね。」


「ちなみに期限切れの場合はこのように表示されるよ。」

「へえ～ブラウザもどんどん賢くなっているんだねぇ～。」


「そうそう、どんどん良くなっているからね、なるべくバージョンの新しいものを使った方がいいんだよ。」

「なるほどね～。」
「そんなわけで『ｃ』の場合は違う表示だし、正解は『ｄ』って事だね。」

「勝手にｗｅｂサイトを改造されてマルウェアを埋め込まれると、こういう表示になったりするんだ。」

「マルウェア？」


「悪意のある悪いソフトの総称のことだよ。」


「ｗｅｂサイトを改造されることってあるの？」


「セキュリティがあまいと有り得るね。」
「ｗｅｂサイトの更新に使うＦＴＰのパスワードが類推されやすいものだったり、あるいはそれを盗むスパイウェアに感染したりしてるとね。」

「ひぇ～、怖いね～！」
「セキュリティって大事だね！」

【 第22回 第2部 第49問 解答＆解説 】
［解答］ｄ．
［解説］
Webブラウザには、フィッシング詐欺やマルウェアに対する対策の機能があります。
不正プログラムに感染させようとする可能性があると判断されているサイトを閲覧しようとすると、警告画面が表示されます。

第24回 第2部 第56問

WPAとWPA2の特徴を説明した記述として、正しいものを2つ選びなさい。

ａ．WPA、WPA2いずれも、クライアント認証に対応している。
ｂ．WPA2はIEEE802.11ｇ対応機器でしか利用できない。
ｃ．WPA、WPA2いずれも、WEPより安全な通信を実現できる。
ｄ．WPAは認証サーバを利用しないPersonalモードで動作し、WPA2は認証サーバを利用するEnterpriseモードで動作する。

「う～ん・・・この手の略語ってなかなか覚えられなくて苦手なんだよね～。」


「似たようなのも多いからね。丸暗記はなかなか辛いかもね。」
「ちゃんと意味を理解していくのが良いよ。」
「それにはまず名前の意味を理解する事だね。」

「３文字だけ見ても意味わかんないよ～。」


「だからまずは何の略なのかを知る所からだね。」
「WPAは『Wi-Fi Protected Access』の略で、無線LANのセキュリティ強化のための、認証や暗号化のしくみの事なんだ。」

「なるほどね～。」
「じゃあWPA2はそれの第二弾？」

「そうだね。」
「そもそも無線LANではWEPというのが使われていたんだけど、それの弱点を強化したのがWPAで、さらにそれをもっと強化したのがWPA2だよ。」

「WEP→WPA→WPA2なんだね！」


「さて、選択肢を順にみていこうかな。」


「まずクライアント認証ってのが分からないよ。」


「この場合はクライアント端末が無線LANに接続しようとする時の認証の事だよ。」
「認証用のサーバーを使わずに、あらかじめ端末とアクセスポイントにに認証用のキー(PW)を設定しておく方式と、認証用のサーバーを使うちょっと設備的に大がかりになる方式があるんだ。」

「WPAもWPA2もクライアント認証には対応しているの？」


「まぁね。」
「ちなみに、サーバーを使わないのはパーソナルモード、サーバーを使うのがエンタープライズモードって呼ばれてるよ。」
「サーバーを使わないで簡単に使えるのは個人用途に向いてるからパーソナル、エンタープライズってのは企業とかそんな意味だからサーバーを使う大がかりなのは個人向けじゃなくて企業向けですよって事だね。」

「なるほどねー。言葉の意味が解ると納得できるね！」


「今回選択肢には出てこないけど、パーソナルモードで使う共通の方式をＰＳＫ(Pre-Shared Key)と呼んで、同義語みたいに使われるよ。」

「Pre-Shared Key・・・前もってシェアされる鍵？」
「あー、端末とアクセスポイントの両方にあらかじめ認証キーを設定するから？」

「そういうこと。」


「次の選択肢は・・・。」
「WPA2は一番強いヤツみたいだけど、これって無線LANのIEEE802.11ｇじゃないと使えないような制限があるの？」

「いいや、801.11gだけじゃなくて801.11nでも使えるね。」
「この選択肢は誤っている。」

「11ａや11ｂはー？」


「ａやｂは古いものだと対応してないモノもあるね。混在させて使う時は注意が必要だね。」


「そういえば家にあるニンテンドーＤＳはＷＥＰだけだったかも。」



「さて、次は選択肢『ｃ』だけど、これはさっき説明したね。」
「WEP→WPA→WPA2の順に強くなっていくよ。」

「WEPの弱点を強化したのがWPAやWPA2なんだよね。」
「だからWEPより安全なんだね！」

「次は分かるかな？さっきちょろっと説明したね。」


「あー、パーソナルとエンタープライズだ。」
「あれ？WPAとWPA2でパーソナルとエンタープライズのどっちかしか使えないの？」

「うんにゃ。WPAもWPA2も両方のモードが使えるよ。」


「なんだ心配して損しちゃった。」
「つまり『ｄ』は誤りだね！」

「一通りこの設問の説明は終わったけど、ついでにもう少し説明しとこう。」
「WPA/WPA2には今回説明した認証の方法と別に、通信内容の暗号化の方法も定められていてね。」
「TKIPとAESってのがあるんだ。」

「あー、なんか見たことあるよ。意味わからないけど・・・。」


「どちらも一定間隔で暗号化キーを変更できる点は同じだけど、暗号化のアルゴリズム(方法)に違いがあって、AESの方が強いんだ。」

「略語は意味が分かりにくくて覚えづらいよねー。」


「TKIPは『Temporal Key Integrity Protocol』の略。」
「Temporalは一時的な、Keyは暗号の鍵の事で、Integrityは完全とか無傷とかいう意味で、Protocolはプロトコル＝通信の際の取り決めだね。」

「へぇ～。」


「AESは『Advanced Encryption Standard』の略」
「Advancedは進んだとか上級の、 Encryptionは暗号化、Standardはみんながよく知ってそうなのは標準だけど、基準って意味もあるからね。」

「先進の暗号化の基準・・・みたいな？」


「そんな感じだね。」
「ちょっと横道だけど、AESとちょくちょく比較されるDESってのがあってね。これは『Data Encryption Standard』の略で、古いタイプの暗号化の規格。」

「じゃあDESよりもAESが良いんだね？」


「AESはそれだけじゃなくて、TKIPよりも更に安全だよDES→TKIP→AESかな。」


「今日は色々と分からなかった略語がなんとなくわかるようになったよ！」


「試験が終わるまで忘れないようにね。」







【 第24回 第2部 第56問 解答＆解説 】
［解答］ａ，ｃ．
［解説］
ａ．正。WPAもWPA2もクライアント認証する際の暗号化方式である。
ｂ．誤。IEEE802.11nにも対応している。
ｃ．正。WPAもWPA2も、WEPの安全性が不十分であるために考えられた方式である。
ｄ．誤。WPAもWPA2も、認証サーバを用いるEnterprise と、認証サーバを使わずに事前鍵共有(PSK)を行うPersonalの2つのモードがある。

第21回 第2部 第39問

あるユーザのメールを送信したところ、メールサーバから以下のエラーメールが返ってきた。
下の選択肢のうち、この原因としてもっとも考えられるものを1つ選びなさい。



ａ．送信先のメールアドレスのアカウント名が間違っていた。
ｂ．送信先のメールアドレスのドメイン名が間違っていた。
ｃ．メールサーバがDNSサーバへの接続に失敗した。
ｄ．送信先のメールボックスが満杯だった。
ｅ．送信したメールの容量が大きすぎた。

「英語よめませーん。」


「そうだよね～。こういう問題の答え方だけど以下キーワードとその意味を頭にいれておくように！」



「この英単語が含まれているところを問題文から探せばいいんだね？」


「そうだね！」


「これは覚えてしまえば簡単だね～。」


「問題自体はこのキーワードを覚えてしまえばすぐ解けるね。」
「じゃここでコムたろうくんにク～イズ！」

「え！？」


「キーワードにあるuserやhostとはどういう意味かわかるかなぁ？」


「userはたぶん利用者とかそんな意味かな？hostはよく聞くけど・・・まさか夜のお仕事と関係ある？」

「ははは同じ言葉だけど、ここでのhostは違うよ。」


「やっぱり・・・。」


「userは合っているよ！利用者とか使用者という意味だね。」
「hostはネットワークに接続されたコンピュータを人間が識別しやすいようにつける名前のことで、ここではメールサーバー名のことを指すよ。」

「なるほど＠以降だからドメインのことなのかな？」


「そうとも言うね。メールはよく使うものだから最低限このキーワードを覚えておけばメール送信できなかった理由の判別がすぐつくから便利だよ～。」

「はーい。覚えておきまーす。」

【 第21回 第2部 第39問 解答＆解説 】
［解答］ｃ．
［解説］
ａ． 誤り。送信先のメールアドレスのアカウント名が間違っていた場合、user unkownというメッセージとなる。
ｂ． 誤り。送信先のメールアドレスのドメイン名が間違っていた場合、host unkownというメッセージとなる。
ｃ． 正しい。DNSサーバへの接続に失敗した場合、設問のようなWarningメッセージが表示される場合がある。
ｄ． 誤り。送信先のメールボックスが満杯の場合、mail box fullというメッセージとなる。
ｅ． 誤り。送信したメールの容量が大きすぎた場合、Message is too largeというメッセージとなる。

第21回 第2部 第59問

OP25Bに関する説明として誤っているものを1つ選びなさい。

ａ．OP25Bが導入されているISPのネットワーク内からは、他のISPのメールサーバを利用したメールの送信ができなくなることがある。
ｂ．OP25Bを導入したとしても、不正プログラムなどがISPのメールサーバを利用して迷惑メールを送信することができてしまうため、SMTP Authの使用を義務付けるISPがある。
ｃ．サブミッションポートが用意されている場合、一般的にTCPの587番ポートが利用される。
ｄ．特定のIPアドレス以外のコンピュータからISPに送られてくるメールをブロックする。



「先生！ＯＰ２５Ｂってナンデスカ！？」


「Outbound Port 25 Blocking の略で、外に出ていく25番ポート宛ての通信をブロックするんだ。」


「25番っていうと・・・なんだっけ？」


「さて、なんだったかな～。ヒントはね、OP25Bは迷惑メール対策で使うって事かな。」


「メール関係って事はPOPかSMTPだよね？」


「もう少しヒントを出すと迷惑メール業者がメールを出すのを抑止するためのものなんだ。」


「てことは、送信？SMTPってこと？」


「そういうこと。」
「ポートを覚えるのが苦手な人も、こうやって関連付ければ覚えられると思うよ。」

「で、ＯＰ２５Ｂってどうやって迷惑メールの送信を止めるの？」


「迷惑メールの業者が素直に普通のユーザーと同じ様にメールを送信していたらどうなると思う？」


「うーん、すぐに犯人がわかっちゃうね。」


「そうだね、そうなるとISPはそんな困ったユーザーにはアカウント停止処分とかを適用するだろ？」


「うんうん、そうなれば、迷惑メールの送信もできなくなるね！」


「だから、普通の迷惑メール業者は自分が大量の迷惑メールを送信していることがばれないように正体を隠したいんだ。」
「そこで、正規のISPのメールサーバーではなく独自のメールサーバーを使ったり、ISPの網の外のSMTPサーバーを利用してメールを出そうとするのさ。」

「え～、そんなことできるの？」


「ちょっとした知識があれば、メールサーバーを自分で用意することもできるし、インターネット上にいくつもあるSMTPサーバーってのは、メールを受け取ったら宛先に向けて転送しちゃう習性があるからね、基本的には認証も要らないからこれのせいで迷惑メールがジャンジャン送信できちゃうんだ。」

「それに対してＩＳＰが用意したSMTPサーバーを使わないでメールを送るのを阻止しようってことで開発されたのがＯＰ２５Ｂなんだ。」

「おおお！」


「仕組みは簡単でプロバイダの外に出ようとする２５番ポート宛ての通信を全面カットします。」

「そんなざっくりで大丈夫なの？」


「ポイントは外に出ようとするってところで、これはＩＳＰの網の外って意味ね。」
「ＩＳＰの正規のメールサーバー宛の通信は、ＩＳＰの網の中に居るサーバーに向けての通信なのでそのまま使えるんだ。」
「つまり普通に設定して使っている分には問題ないんだよ。」

「じゃあ、一般ユーザーには影響ないんだね。。」


「ところが、いくつか問題が発生するパターンがあるんだ。」
「まず、出張とかでノートパソコンを使って宿泊先のホテルからメールを送ろうとする場合。」

「ノーパソの設定はきちんとしてあっても？。」


「うん。ホテルのＬＡＮに繋いでメールを送ろうとするわけだけど、その時メールの送信に使われるＳＭＴＰサーバーはどこかな？」

「設定どおりに自分の加入しているＩＳＰ(仮にＡとする)のＳＭＴＰサーバーだよね。」


「宿泊先のホテルが別のＩＳＰ(仮にＢとする)だったとして、そこがＯＰ２５Ｂを実施していたらどうなるかな？」

「ＩＳＰ(Ｂ)の外のＩＳＰ(Ａ)のＳＭＴＰサーバーへ向けて２５番ポート宛ての通信を出すことになるから・・・ブロックされちゃう！？」

「そうだね。ブロックされちゃうねぇ。」
「もう一つ、ＩＳＰを乗り換えたけど、メールアドレスは残しておいて、メーラーの設定もそのまま変更しなかった場合。」

「メールはそのまま使いたいから残したんだし、設定変えるのは面倒だからそのまま使いたいよねー。」

「この場合乗り換える前のＩＳＰをＣ、乗り換え後のＩＳＰをＤとして、メールを送信する場合にどうなるか考えてみようか。」

「ＩＳＰ Ｄの網からＩＳＰ ＣのSMTPサーバーへ向けての通信・・・２５番ポート宛ての通信を使うから・・・。」

「そう、これもＩＳＰ ＤがＯＰ２５Ｂを実施していたらブロックされちゃうパターンだね。」


「う～ん・・・、でも一応受信はできるんだよね？」


「そう、受信はできるけど、送信ができなくなるんだ。」


「送信はどうすれば良いの？」


「サブミッションポートってのが用意されていてね。たいていは５８７番ポートが割り当てられていて、それを使って送信するんだ。」

「ナンデスカソレハ。」


「２５番ポートを使う通信がブロックされるので、別の逃げ道を用意してあるんだ。それがサブミッションポート。」

「へぇ～、でも悪い人も設定をそれに合わせて変えたら使えちゃうんじゃないの？」


「そこで、サブミッションポート(５８７番)を使うにはSMTP AUTH(SMTPに認証をプラスしたもの)を使うんだ。」

「なるほど、その認証を使って大量のスパム(迷惑メール)を送ったらすぐバレちゃうんだ。」


「迷惑メールの業者が好き勝手にメールを大量に送信できているのは、なんの対策もしていない制限の緩いSMTPサーバーを利用するからだしね。」

「ＯＰ２５ＢとかサブミッションポートでSMTP AUTHとか使えば、業者も好き勝手にメールを送信できなくなるって寸法だね！」

「そういうこと。」







【 第21回 第2部 第59問 解答＆解説 】

［解答］ｄ．
［解説］
ａ．正しい。OP25BはISPのネットワーク内から他のISPのメールサーバ(25番ポート)への送信を出来なくする仕組みである。
ｂ．正しい。SMTP Authで送信者の認証をすることでspamを減らすことも一つの策であり実施しているISPもある。
ｃ．正しい。一般的に利用されているサブミッションポートは587番である。
ｄ．誤り。迷惑メールを受け取らない仕組みであるIP25Bの説明である。

（参考）http://service.ocn.ne.jp/mail/info/op25b/

第22回 第2部 第52問

パケットフィルタリング型ファイアウォールの動作について述べた文として、適切なものを1つ選びなさい。

ａ． IPパケットに含まれる情報をもとに、内部ネットワークと外部ネットワーク間の通過の可否を判別する。
ｂ． 外部ネットワークから内部ネットワークヘの不正アクセスの兆候を検知し、自動的に対策を施したり管理者に通知する。
ｃ． 外部ネットワークにも内部ネットワークにも属さないセグメントを作る。
ｄ． プロキシサーバを利用して、内部ネットワークと外部ネットワークを分断する。

「ドット先生～、ファイアウォールについて教えてくださ～い。」


「ファイアウォールは大きく分けて、パケットフィルタリング型とアプリケーションレベルゲートウェィ型があるんだ。」

「う～ん、そもそもファイアウォールって何をするものなの？」


「むう、そこからか・・・。ファイアウォールつまり防火壁。火の延焼を防ぐ、敵の侵入を防ぐ防壁だね。」

「なんかカッコイイね！」


「インターネットを使うときに必要な情報が入ってくるのは問題ないんだけど、ウィルスが入ってくるのは困るよね。」

「そりゃそうだよね。」


「そういう外部からの不要な情報をカットするハードやソフトをファイアウォールというんだ。」


「大事な役目だね。」


「うん、でもかなりむづかしいから、ざっくり理解してね。」


「がんばりま～す。」


「以前やったＯＳＩ参照モデルは覚えているかな？あれは７層まであったよね。」


「うん、あったあった。」


「あれのネットワーク層（レイヤ3）やトランスポート層（レイヤ4）で動作するのがパケットフィルタリング型ファイアウォールなんだ。」
「ＩＰパケットのヘッダ部分を見て、通していいか否かをチェックするんだ。」

「はあ・・・。」


「ルータのＮＡＰＴ機能って覚えてる？」


「えっと、ＩＰアドレスを変換する機能だよね？」


「それはＮＡＴ。それ＋ポートも変更する機能のことをＮＡＰＴというよ。ＰはポートのＰだね」


「あ～、そっかそっか、そのＮＡＰＴが関係あるの？」


「ＮＡＰＴがあるとインターネット側からはルータは見えるけど直接パソコンはみえないだろう？」


「うん、そうだね～。」
「外から見えるのはルーターのWAN側アドレスで、パソコンは見えないんだよね！」

「だからこれも一種のファイアウォールなんだ。」


「なるほど！」


「パケット型ファイアウォールはＮＡＰＴとセットで使うんだ、ヘッダ情報の宛先と送信元のアドレス・ポートをチェックして通してよいパケットか否かを判断するんだ。」

「へぇ～、賢いんだねぇ。」






「次は、アプリケーションレベルゲートウェイ型ファイアウォールの説明だよ。」
「これはアプリケーション層（レイヤ１）で動作し、プロキシサーバーというものを経由して外部と接続するんだ」

「プロキシサーバーって使ったことないなぁ。」


「そうだね、主に企業が外部のネットワークと繋ぐために使うものだから普通の家庭には滅多に置いてないね。」

「じゃあ、家じゃ使わないんだ？」


「そうだね、絶対使わないわけではないけど、一般的ではないね。」
「特長としては、①プロキシサーバーを利用する。②ブラウザやファイル転送ソフトなど、ソフトごとにプロキシサーバーを用意する。③パケットのヘッダだけじゃなくて中身もチェックするといったところかな。」

「中身を全部チェックするの！？」


「そう、だからパケットフィルタ型より厳しいチェックになるんだ。」


「うーん。難しいね～。」


「どうしてコムたろうくんのファイアウォールは知識を通してくれないんだろうね・・・。」


「きっとチェックが厳しいんだよ！」


「なんでドヤ顔なの。」







【 第22回 第2部 第52問 解答＆解説 】
［解答］　ａ． 
［解説］ 
ａ． パケットフィルタリング型ファイアウォールは、IPパケットに含まれる情報をもとに、内部ネットワークと外部ネットワーク間の通過の可否を判断します（正解）。
ｂ． パケットフィルタリング型ファイアウォールは外部ネットワークから内部ネットワークへの不正アクセスの兆候は検知できません。
ｃ． DMZの説明です。
ｄ． プロキシサーバを経由させるファイアウォールは、アプリケーションレベルゲートウェィ型ファイアウォールです。なお、プロキシサーバを利用しても、内部ネットワークと外部ネットワークの分断はできません。