こんにちは、mokakoです。 今回は情報処理安全確保支援士試験の令和3年度 春期 午後Ⅱ 問1を解説していきたいと思います!
※この解説ブログでは、あくまでも私自身が解いた備忘録となりますので、間違いなどを発見された場合はどうぞ教えていただけますと幸いです。
下記より問題文と解答を引用しております。
問題 https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03_1/2021r03h_sc_pm2_qs.pdf 解答 https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03_1/2021r03h_sc_pm2_ans.pdf
出典:令和3年度 春期 情報処理安全確保支援士試験 午後Ⅱ 問1
では早速解説してまいります!
設問1
(1)外部から入手した利用者IDとパスワードの組みのリストを使ってログインを試行する攻撃
解説 パスワードリスト攻撃ではあるサイトで入手された情報(IDとパスワード)をリスト化し、対象となるサイトで試行を試します。 メールアドレスをIDとしているサイトが多く、そもそもIDは複数サイトで同一であることが多いので、パスワードも同一にしてしまうと、この攻撃を防ぐことができません。気をつけましょう。
(2)他のサービスで利用したパスワードとは別のものを設定すること
解説 (1)の解説にも記述しましたが、パスワードを他のサービスで使いまわさないことでパスワード攻撃を防ぐことができます。
(3)・IPアドレスから分かる地理的位置について、過去のログインのものとの違いを確認する。 ・WebブラウザのCookieを利用し、過去にログインした端末かを判定する。
解説 リスクベース認証について知識があれば解ける問題です。リスクベース認証の活用例としては、利用者がいつもと異なる環境から、もしくは異なる挙動をしてログインしてきた際、システム側で利用者にその旨を報告して正規のログインかを確認するなどが挙げられます。この時の環境や挙動の情報として利用されるものが解答にある、地理的位置やCookie情報になります。
(4)a. タイムゾーン
解説 タイムゾーンとは、どこの地域の時間を使うかということです。 例えば、不正アクセスがあった場合、まず、不正アクセスがあった時刻を不正アクセスがあったサーバのログによって割り出し、そこから他のログ(FWやプロキシサーバなど)も見るとします。 ここで頼りになるのは時間です。それにもかかわらず、サーバは日本標準時、FWは協定世界時など統一されていないと、見つけるのに手間がかかってしまいます。そのため、タイムゾーンは重要なパラメータです。
(4)b. 9
解説 協定世界時とは、(地理分野の話みたいになりますが)緯度0度すなわち本初子午線上の時刻となります。本初子午線はイギリスを通っており、一般的には日本とイギリスの時差は9時間なのでここでは9が正解となります。
設問2
マルウェアに感染したUSBメモリを介して管理用PCに侵入し、さらに店舗管理サーバへ侵入する。
解説 よく問われる問題です。 機密情報を保持しているサーバとファイルのやりとりをしたい… →他のネットワークと接続するのは危険なので、USBでやりとりしよう→USBがマルウェア感染していて接続した途端マルウェア感染 という流れが問われがちなので、覚えておきましょう。 また、これに対し、USBをフルスキャンしてから接続するという対策についても問われることが多いので、併せてチェックしておきましょう。
設問3
(1)c. オ
解説 c は役割として(ⅰ)基本方針の策定や(ⅱ)N社インシデント対応のポリシの承認とあります。 (ⅱ)のほうが分かりやすいです。インシデント対応のポリシとは表2のすぐ上の図6にその詳細が書いてあります。ここで(3)や(5)において情報セキュリティ委員会の承認を得ているため、情報セキュリティ委員会であることが分かります。 念の為、(ⅰ)のほうも見ていきます。冒頭、p2図1のすぐ下に情報セキュリティ委員会は情報セキュリティについての基本方針を取り扱うという旨の記述があるので、こちらでも情報セキュリティ委員会であることが分かります。
(2)d. イ e. カ f. ウ
解説 意外と迷ってしまったので、穴埋めから導く方法と、消去法で導く方法両方で考えたいと思います。
穴埋めからの導き方 図7は(ⅰ)準備→(ⅱ)?⇄(ⅲ)封じ込め・?・復旧→(ⅳ)事後活動 という流れになっています。 ここで(ⅱ)は準備と封じ込め・復旧の間なので、インシデントを実際に見つけて封じ込める準備をすると推測できます。ここでそれっぽい言葉は、イ 検知とカ 分析です。 次に(ⅲ)の方をみます。(ⅱ)でインシデントを実際に見つけ、復旧する準備をしました。(ⅳ)では事後活動をしているので、(ⅲ)ではインシデントが起きないような状態にしなくてはなりません。そのため封じ込め、復旧とともに行わなければならないのはウ 根絶です。
消去法での導き方 ア 開示 開示は内部への報告というよりも外部への情報開示を指すことが多いです。そのため、図7の事後活動に入ると思われます。 イ 検知 検知は見つけるプロセスになりますので、(ⅱ)に入りそうです。 ウ 根絶 インシデント原因の根絶となりますので、封じ込め・復旧と同じ(ⅲ)に入りそうです。 エ トレーニング これは微妙ですが、インシデントが起きた際の対応方法のトレーニングなので、準備または事後活動に入ると思われます。 オ 復習 これは意味的にも事後活動に入ると思われます。 カ 分析 分析は検知されたインシデントの詳細を明らかにしていくプロセスになりますので、(ⅱ)に入ると思われます。 キ レビュー 対応に対する評価になりますので、事後活動に入ると思われます。
設問4
(1)5
解説 不正ログインを行ったと推測されるIPアドレス数を答える問題です。 まず、不正ログインとなるのは、下記2点の両方に当てはまる通信です。 (ⅰ)外部からのアクセス→インバウンド通信、接続元IPアドレスがN社でもV社でもない (ⅱ)遠隔操作プロトコルで通信してきている→サービスがSSH
(ⅰ)から見ていきます。 N社はx1.y1.z1.0/28となっているので、x1.y1.z1.1〜x1.y1.z1.14です。 V社はx2.y2.z2.128/30となっているので、x2.y2.z2.129〜x2.y2.z2.130までです。 接続元IPアドレスのうち、これに当てはまらないものは、 x1.y1.z1.200、****x1.y1.z1.100、x1.y1.z1.240、x2.y2.z2.60、****x2.y2.z2.58、a2.b2.c2.d2の6つです。
ここから(ⅱ)の条件で絞ります。 上記6つとの通信ログのうちサービスがSSHであるものを抽出すると、x1.y1.z1.200以外になります。****x1.y1.z1.240はHTTPS通信の時もありますが、SSH通信も後にしています。
したがって、不正ログインを行ったのは、 x1.y1.z1.100、x1.y1.z1.240、x2.y2.z2.60、****x2.y2.z2.58、a2.b2.c2.d2 の5つになります。
(2)脆弱性Mを悪用しても一般利用者権限での操作であるが、 “/etc/shadow” ファイルの閲覧には管理者権限が必要であるから
解説 “/etc/shadow” の性質を知っていればすぐに解くことができますが、知らなくても表3より脆弱性Lと脆弱性Mの概要を比較することで答えを導くことができます。 見てみると、脆弱性Lは一般利用者権限でOSコマンドAを実行した場合でもプログラムは管理者権限で起動できるというものです。一方で脆弱性Mは一般利用者権限でコマンドを実行できるというものです。脆弱性Mだけでは参照できいないと言っているので、権限が関係しているということが推測できます。
(3)攻撃の接続元IPアドレスを “/etc/hosts.allow” ファイルに追加する。
解説 図3の(3)より、R1サーバへの接続制御として、R1サーバの”/etc/hosts.allow” ファイルにてSSH接続の接続元をN社とV社に限定していると記述されていました。ログイン用のパスワードは図10の(1)にて入手しているので、ここに攻撃用端末のIPアドレスを追加することで、SSH接続が可能になります。
(4)24
解説 復元できたF1ファイルを参考に計算していく問題です。 必要な情報は、(ⅰ)F2のファイルサイズ、(ⅱ)IPアドレス1つ格納するためのサイズです。 そもそも(ⅰ)はどこに情報が?と思いますが、図9の注1)に注目です。以下のようなことが書かれています。
注1) アウトバウンド通信には, R1サーバ上のファイルの持ち出しに使われたと推測され, かつ, 通信料が大きいものだけを示す。
出典:令和3年度 春期 情報処理安全確保支援士試験 午後Ⅱ 問1
これですね、また、図10(3)7行目からの文章に注目です。F1ファイルはIPアドレスa1.b1.c1.d1のサーバにアップロードされとあります。そのため、 F1ファイルは320kバイト、IPアドレスは8個格納されていました。IPアドレスごとの出力結果は固定長F2のサイズ960kバイト ÷ 40kバイト = 24個 であることが分かります。
(5)FW2において、インターネットからのインバウンド通信はN社とV社からの通信だけを許可する。
解説 下線⑨からも分かるように今回は、開発用システムへのSSH接続及びHTTP接続を使った攻撃であった。図3の(1)より、開発用システムがインターネットと通信する目的は、システムのテストのため(HTTP接続)、開発業務のため(SSH接続)の2点です。 これはどちらも、N社もしくはV社からのみ行うので、この通信を****N社とV社からの通信だけに限定すれば今回のような攻撃を防ぐことができます。
設問5
・複数の脆弱性が同時に悪用される可能性の観点 ・対応を見送った脆弱性の影響の観点
解説 前者から説明していきます。 設問4の(2)でも話題になりましたが、表3に脆弱性L、脆弱性Mそれぞれについて対応を見送った経緯とその理由が記載され、どちらも影響は小さいと結論づけられていました。しかし、今回の攻撃で攻撃者は脆弱性Lと脆弱性Mを 併せて悪用することで、 “/etc/shadow” ファイルを参照することに成功しています。 そのため、図4の(イ)、(ウ)での見つかった脆弱性の一つ一つの影響度だけではなく、それら複数が同時に悪用された場合の影響度を考える必要があります。
後者は、今回、過去に見送った脆弱性Lと脆弱性Mが “/etc/shadow” ファイルを参照に成功させているというところで、(イ)にて悪用される可能性が低いと評価された際もN社へのシステムへの影響を評価する必要があります。