情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成28年度秋期 午前 問28: なりすましメールでなく，EC（電子商取引）サイトから届いたものであることを確認できる電子メールはどれか。

問題本文

なりすましメールでなく，EC（電子商取引）サイトから届いたものであることを確認できる電子メールはどれか。

選択肢

• ア.送信元メールアドレスが EC サイトで利用されているアドレスである。
• イ.送信元メールアドレスのドメインが EC サイトのものである。
• ウ.ディジタル署名の署名者のメールアドレスのドメインが EC サイトのものであり，署名者のディジタル証明書の発行元が信頼できる組織のものである。
• エ.電子メール本文の末尾にテキスト形式で書かれた送信元の連絡先に関する署名のうち，送信元の組織を表す組織名が EC サイトのものである。

正解

ウ. ディジタル署名の署名者のメールアドレスのドメインが EC サイトのものであり，署名者のディジタル証明書の発行元が信頼できる組織のものである。

解説

電子メールの送信元が本物であることを確かなものとするには，第三者（認証局）が発行したディジタル証明書に基づくディジタル署名が必要である。送信者の秘密鍵で署名されメッセージが改ざんされていないことと，署名者の正当性を信頼できる認証局の証明書が裏付けることで，なりすましでないと確認できる（ウ）。

選択肢ごとの解説

• ア.送信元アドレスのヘッダは容易に詐称できるため，EC サイトのアドレスに見えても本物とは確認できない。
• イ.ドメイン部分もヘッダの偽装が可能であり，これだけではなりすましでないとは判断できない。
• ウ.正しい。署名者のドメインが EC サイトのものであり，かつ証明書の発行元（認証局）が信頼できることで，署名者の正当性と改ざんの有無を確認でき，なりすましでないと確認できる。
• エ.本文末尾のテキスト署名（シグネチャ）は誰でも自由に書けるため，組織名が記載されていても送信元の真正性の証明にはならない。