やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

情報処理安全確保支援士【H31春午後Ⅰ問2設問1】

この問題の主題は「クラウドサービスのセキュリティ 

クラウドサービスのセキュリテイを題材に、通信を攻撃者に中継され得る環境下での認証方式の強化について問われています。

設問1 キーワード

オンプレミス

組織における情報システムの設置形態において、自組織の構内に機器を設置して運用すること。一方、インターネットなどを介して外部の事業者の機器やアプリケーションソフトウェアを利用する形態をクラウド型という。

セキュリティインシデント

情報システムにおけるセキュリティ上の脅威となる事象のこと。

SSID(Service Set Identifier)

無線LANにおけるアクセスポイントの識別名のこと。

事前共有鍵(PSK(Pre-Shared Key))

暗号化通信の際に、事前に交換する暗号鍵のこと。

DNSサーバ(Domain Name Server)

ドメイン名やホスト名とIPアドレスの対応関係を管理するサーバのこと。

DHCP(Dynamic Host Configuration Protocol)

ネットワークに接続する各種端末にIPアドレスを自動的に設定する仕組みのこと。

FQDNFully Qualified Domain Name

ドメイン名の表記法で、トップレベルドメイン(TDL)、サブドメイン名、ホスト名などをすべて表記する形式のこと。(「aolaniengineer.com」(末尾に「.」(ドット)をつける場合もある))

サーバ証明書

Webサイトの身元の証明やTLSによる通信の暗号化に使われるディジタル証明書のこと。

HTTP over TLS(HTTPS)

Webアクセスの際に利用されるURIスキームの一つで、HTTPを暗号化してやり取りするもの。暗号化にはディジタル証明書が必要となる。

HSTS(HTTP Strict Transport Security)

WebサーバがWebブラウザに対し、HTTPSでアクセスするよう指定すること。

Aレコード

DNSでドメイン名について定義される情報の一つで、ホスト名に対応するIPアドレス(IPv4)。IPv6の場合は、AAAAレコードという。

問題文

それでは読み進めていきましょう。

序文には、現状の組織体系やサービスの利用形態、及び、セキュリティインシデントと対策などが示されます。

感覚的にはこの時点ではあまり細かい部分まで理解する必要はありませんが、ストーリーを噛みしめるように読み進めて、全体の流れを理解しましょう。

f:id:aolaniengineer:20190831100335p:plain

f:id:aolaniengineer:20190831101403p:plain

f:id:aolaniengineer:20190831101836p:plain

f:id:aolaniengineer:20190831102157p:plain

設問1(1)

f:id:aolaniengineer:20190831102810p:plain

該当箇所は、「攻撃者は①無線LANアクセスポイント、DNSサーバ及びWebサーバを用意した。」です。

ヒントとなる記述を探すと以下の記述がありました。

図1「ホテルWi-FiのSSIDは、宿泊客で共通であり、そのSSIDと事前共有鍵はロビーなどの共有スペースに張り出されていた。」
 図2「SさんはPC-SをホテルWi-Fiに接続しようとして、攻撃者が用意した無線LANアクセスポイントに接続してしまった。」
図2「その結果、PC-Sに攻撃者が用意したDNSサーバの情報が設定された。」

これらの情報から、攻撃者がSSIDと事前共有鍵(パスワード)を知り得る状況であり、攻撃者が用意した無線LANアクセスポイントに設定したことがわかります。

 したがって、正解は以下の通りです。

ホテルWi-Fiと同じSSIDと事前共有鍵」(IPAの解答例)

ホテルWi-Fiと同じSSIDと事前共有鍵及びDNSサーバ情報

設問1(2)

f:id:aolaniengineer:20190831103906p:plain

該当箇所は、「そのDNSサーバには(a)のFQDNと(b)のIPアドレスとを関連付けるAレコードが設定されていた。」です。

ヒントとなる記述を探すと以下の記述がありました。

図2「Sさんは、WebブラウザからメールサービスPにアクセスしたつもりだったが、実際にはWebブラウザは攻撃者が用意したWebサーバに接続していた」

攻撃者は、WebブラウザのアドレスバーにメールサービスPのFQDNが入力されてアクセスされた時に、攻撃者が用意したWebサーバにアクセスするように仕掛けます。

それには、DNSサーバでメールサービスPと攻撃者が用意したWebサーバを紐づければいいのです。 

したがって、正解は以下の通りです。

「そのDNSサーバにはメールサービスPのFQDNと攻撃者が用意したWebサーバのIPアドレスとを関連付けるAレコードが設定されていた。」

(a)「メールサービスP

(b)「攻撃者が用意したWebサーバ

設問1(3)

f:id:aolaniengineer:20190831104200p:plain

該当箇所は、 「Sさんは、WebブラウザからメールサービスPにアクセスしたつもりだったが、実際にはWebブラウザは②攻撃者が用意したWebサーバに接続していた」です。

ヒントとなる記述を探すと以下の記述がありました。

Tさんが調べたところ、メールサービスPHTTP over TLSでサービスが提供されている。HTTPでアクセスした場合はHTTP over TLSURLにリダイレクトされる仕様になっており、HSTSHTTP Strict Transport Security)は実装されていない。

この記述から、本来、WebブラウザはHTTPSでアクセスしますが、HTTPでアクセスしてもそのままメールサービスPにリダイレクトされることがわかります。

もし、SさんがHTTPSでアクセスしていればサーバ証明書が信頼できない旨のエラー表示が出たはずです。

SさんはHTTPでアクセスして、そのままメールサービスPでリダイレクトされたと推測できます。

したがって、正解は以下の通りです。

 「HTTPで接続が開始されたから

セキュリティインシデント発生時の対応を参考にしましょう

「送信者が従業員のメールアドレスである不審なメール」という事象に対して、担当者がとった一連の行動は以下の通りでした。

当該メールのヘッダ情報を確認(メールサービスPからの送信)
該当アカウントについて他の時間帯での不審な履歴を調査
該当アカウントを一時的に無効化
該当する従業員が保持するスマートフォン、ノートPC及び該当アカウントのメールボックスに重要情報がないか確認
該当する従業員が所属する部門の他の従業員で、不審なメール送信履歴がないか確認
該当する事象の時間帯での送信者の電子メールに関連する行動を確認
メールサービスの仕様を確認し、原因を推測
調査結果の報告、再発防止索の検討

www.aolaniengineer.com