HOME»情報処理安全確保支援士掲示板»平成31年春午後Ⅱ問2設問5(1)
投稿する

平成31年春午後Ⅱ問2設問5(1) [1110]

 akiさん(No.1) 
サーバのログ調査だけで操作者を特定するのが不十分な理由を問う問題で、IPAの模範解答について疑問を感じました。模範解答は「なりすましによるアクセスの場合、操作した人物とログに記録された利用者IDの利用者と異なるから」でした。この問いでは調査を進めた結果マルウェアによりアカウントがのっとられたと判断されますが「ヒアリングとPCのログ調査が必要」と判断する段階では、なりすましによるアクセスなのか、そうでないのか(例えば単に内部不正等なのか)わからない状況です。
なので、解答文に「なりすましによるアクセスの場合」と条件を付けるような解答でいいのか疑問に感じたところです。そもそも本設問ではIDを複数で共有する設定なので、IDが特定できても操作者を特定することはできないはずですので、むしろその点に着目するのが自然だと思いました。またIPアドレスから端末を特定することはできますが、端末と利用者が一意に紐づくわけではないことも含めて、「なりすましでなくても操作者の特定はできない状況」だと思いました。模範解答は私には当たり前すぎることを書いているだけで、問題設定にもあてはまっていないように感じました。なぜこのような解答となるのか解説いただける方コメントいただけますと幸いです。
ちなみに私の解答は「設計情報管理サーバにアクセスした端末・利用者IDを特定しても、操作者を一意に紐づける情報ではないから」でした。利用者IDが共有されている点を記載したかったのですが字数制限もあり記載できませんでした。端末の話を割愛しようと迷ったところもあり、私の解答が正解だと自信があるわけでもありません。合わせてこちらの解答についてもコメントいただけるとありがたいです。
2023.04.12 11:00
ppapさん(No.2) 
問題作成者が最初に想定した模範解答をそのまま公表しているものと思われます。
試験日あとすぐならともかく、採点が終わったあとなのですから、受験者の解答内容を踏まえて、妥当な模範解答を公表して欲しいものです。
2023.04.12 12:59
 akiさん(No.3) 
pappさま
コメントありがとうございます。どうやら私と同じように妥当性に欠いていると感じておられるようですね。
IPAの模範解答は妥当であるとのご意見の方がいらっしゃれば、その視点を取り入れて試験に臨みたいと思っておりますので、ぜひコメントいただければ幸いです。
2023.04.13 07:38
pixさん(No.4) 
SC ダイヤモンドマイスター
本設問は情報が少ないので正確に判断するのはかなり難しいです。
それでも、断片的な情報と業務経験から推測するしかありません。
以下は私の勝手な妄想です。なにかヒントになれば幸いです。

■流出者の可能性について
・マルウェアのなりすまし
・ID-Kを共有している3名(Jさんと2名の設計部員)
これについてはこの2パターンと仮定します。

■表6 設計情報管理サーバのアクセスログから読み取れること
項番4~6で「ログイン失敗」を3回記録しています。
この情報を掘り下げてみます。
・項番4~6接続元IPアドレス「192.168.64.3」は営業係KさんのDPCに
  割り当てられたIPアドレスだった
  営業係Kさんが流出した可能性もごくわずかにありますが、限りなく
  低いので今回は無視します。
  もし項番4~6接続元IPアドレスが「192.168.64.8」だった場合、
  犯人はJさんの可能性が大でしたが、これも違います。

・項番4~6で「ログイン失敗」について
  もし、ID-Kを共有している3名が犯人であった場合、普段利用しているIDなので
  3回連続でログイン失敗するとは考えずらい。
  それ以上に項番4~6のログイン試行が4秒間隔で行われている。
  人間のログイン試行速度よりも早すぎるようにみえる。人間ならば
  もう少し間隔があきそうなものである。
  だとすると、機械的にログイン試行された可能性が考えられる。

以上の調査、推理から「マルウェアのなりすまし」の可能性が大きいと思われました。
しかし、「ID-Kを共有している3名」が犯人という可能性も捨てきれない状況です。
ここで問の解答の
「なりすましによるアクセスの場合、操作した人物とログに記録された
利用者IDの利用者と異なるから」
という基本的な前提が浮かびます。

そのため、これ以降に「ID-Kを共有している3名」に対して聞き込みを始めます。
聞き込みの結果「マルウェアのなりすまし」と断定するに至りました。

以上のようなストーリーを想定してみました。
実際の業務でも、特に短時間でのログイン試行とログイン失敗は外部からの
なんらかの攻撃を受けていると判断するに値する情報と思われます。
2023.04.13 08:27
 akiさん(No.5) 
pixさま  コメントを催促したみたいですみませんでした。いつもありがとうございます。

>実際の業務でも、特に短時間でのログイン試行とログイン失敗は外部からの
>なんらかの攻撃を受けていると判断するに値する情報
については、同感です。確かにサーバのログから攻撃を受けている可能性を読み取ることができます。

IDの共有は「いかにも出題されそうだな」とチェックを入れていたので、この設問の布石だと思っていたのですが、どうやら違ったみたい。なかなかIPAの出題意図を読み解くのも難しいと実感しました。
2023.04.13 11:44
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop