やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

情報処理安全確保支援士【H31春午後Ⅱ問1設問5】

この問題のテーマは「マルウェア感染と対策」

無線LANの脆弱性
攻撃手法と脆弱性を理解する能力
対応を立案し、効果を評価する能力

設問5(1)

f:id:aolaniengineer:20191002164454p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問1設問5に関連する問題文その1

f:id:aolaniengineer:20191002164726p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問1設問5に関連する問題文その2

f:id:aolaniengineer:20191002165127p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問1設問5に関連する問題文その3

f:id:aolaniengineer:20191002165205p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問1設問5(1)

 該当箇所は、「HTTP通信の場合、プロキシサーバでは内容をfことができる。しかし、HTTPS通信の場合、社内PCからプロキシサーバにCONNECTメソッドによって接続要求を送る時点では平文でWebサーバの(g)名とポート番号が渡されるが、社内PCWebサーバ間でTLSセッションが成立して暗号通信路が確立した後は、プロキシサーバでは内容をfことはできない。」です。

 HTTP通信とHTTPS通信の違いによりプロキシサーバでできることと、できないことが問われています。

 HTTPS(HTTP over SSL/TLS)はHTTP通信を暗号化して通信するものです。

 プロキシサーバは、社内からインターネットへの通信内容を読み取り、通信を制御したりログに残したりしますので、通信内容が暗号化されているとこれらの機能が実行できません。

 したがって、正解は以下の通りです。

 「読み取る

設問5(2)

f:id:aolaniengineer:20191002171503p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問1設問5(2)

 該当箇所は、「しかし、HTTPS通信の場合、社内PCからプロキシサーバにCONNECTメソッドによって接続要求を送る時点では平文でWebサーバのg名とポート番号が渡されるが、社内PCWebサーバ間でTLSセッションが成立して暗号通信路が確立した後は、プロキシサーバでは内容を読み取ることはできない。そのため、HTTPS通信の場合、実質的にブラックリストに登録できるのが、URLg部とポート番号部だけであり、h部は指定できないことや、そもそもブラックリストに登録すべきURL情報が必要なタイミングで入手できないことから効果が期待できないとの結論になった。」です。

 前問の通り、プロキシサーバは暗号化データは読み取ることができません。

 そのため、HTTPS通信の場合は、以下のようなやり取りを行います。

クライアントはプロキシサーバにHTTP通信の接続要求としてCONNECTメソッドを送信する。送信内容はWebサーバのホスト名とポート番号。
プロキシサーバはWebサーバとの間にHTTPコネクションを確立する。
クライアントはプロキシサーバ経由でWebサーバとHTTPSコネクションを確立する。
クライアントがWebサーバとHTTPSコネクション上でデータ通信する。

 したがって、正解は以下の通りです。

 「しかし、HTTPS通信の場合、社内PCからプロキシサーバにCONNECTメソッドによって接続要求を送る時点では平文でWebサーバのホスト名とポート番号が渡されるが、社内PCWebサーバ間でTLSセッションが成立して暗号通信路が確立した後は、プロキシサーバでは内容を読み取ることはできない。そのため、HTTPS通信の場合、実質的にブラックリストに登録できるのが、URLホスト部とポート番号部だけであり、パス部は指定できないことや、そもそもブラックリストに登録すべきURL情報が必要なタイミングで入手できないことから効果が期待できないとの結論になった。」です。

設問5(3)

f:id:aolaniengineer:20191002174540p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問1設問5(3)

 該当箇所は、「W主任は、⑤マルウェアが窃取した情報を社内PCから社外に送信する経路がFW1を経由したHTTPS以外にもあり、対策1とL7FW機能だけでは全ての経路を検査することはできないので、対策2を併せて実施する必要があると考え、P君に対策1及び対策2の検討を指示した。」です。

 「FW1を経由したHTTPS以外」とのことなので、「FW1」を経由しないものと、「HTTPS以外」のものとで考えてみます。

 「FW1」を経由しないものとしては、〔不審なW-APの発見と対策〕に以下の記述があります。

その結果、総務部のW-APと同一のSSIDが設定された不審なW-APが、N社敷地外にあることを発見し、KRACksによる攻撃を受けたと結論付けた。

 これを参考に、攻撃者が用意したW-AP経由で送信する経路が考えられます。

  「HTTPS以外」のものとしては、表1「FW1のルール」と表2「FW2のルール」を確認すると以下の通信が該当します。

外部メールサーバ→インターネット:SMTP、SMTPS
内部メールサーバ→外部メールサーバ:SMTP
内部IP→内部メールサーバ:代表HTTP

 これを参考に、内部メールサーバを利用したメール通信の経路が考えられます。

 したがって、正解は以下の通りです。

 「攻撃者が用意したW-APに接続し、情報を送信する。

 「内部メールサーバを利用して攻撃者にメールを送信する。