情報処理安全確保支援士過去問題 令和5年秋期 午後 問2
⇄問題PDFと解説を画面2分割で開く⇱問題PDF
設問1
- c:このサーバ証明書は,信頼された認証局から発行されたサーバ証明書ではない
- d:このサーバ証明書に記載されているサーバ名は,接続先のサーバ名と異なる
- HTTPのアクセスをHTTPSのアクセスに置き換えてアクセスする。その後,偽サイトからサーバ証明書を受け取る。
解説
- 〔abについて〕
社外の攻撃者によるファイルの持出しの1つ目の検討事項は、攻撃者がM社の外から来客用無線LANに接続し、Bサービスにアクセスしてファイルを持ち出すシナリオです。M社は人通りの多い都内の大通りに面しているということで、社内の無線LANにM社外から不正アクセスされるリスクがあります。
Bサービスは、業務用のファイルの保存先となっているクラウドストレージサービスです。表1のBサービスの説明を読むと、HTTPSでアクセスし、利用者IDとパスワードでログインするとあります。この記述より、攻撃者がBサービス内のファイルにアクセスするのに必要なものは、利用者IDとパスワードとわかります。
したがって、空欄a、bには「利用者ID」と「パスワード」の組合せが当てはまります。
∴ab=利用者ID、パスワード(順不同)
- 社外の攻撃者によるファイル持ち出しに関する2つ目の検討事項は、攻撃者が偽APと偽サイトを用意して、Bサービスのログイン情報(利用者IDやパスワード)をファーミングで盗むシナリオです。
このシナリオでは、攻撃者が正規のアクセスポイント(以下、APという)を模倣した偽のAPを設置し、標的となるユーザーを偽サイトに誘導します。このように、同一のSSIDなどを設定した罠のAPを設置する行為は「悪魔の双子攻撃」と呼ばれています。
攻撃の流れとしては、次のような手順となります。- ユーザーが誤って偽APに接続する
- 偽APは、攻撃者が用意したDNSサーバをユーザーに設定する
- ユーザーがBサービスのURLにアクセスすると、偽サイト(攻撃者が準備したIPアドレス)に名前解決される
- ユーザーが偽サイトに誘導されて、ログイン情報を盗まれる
偽サイトにはHTTPSでアクセスすることになりますが、FQDNは重複が許されていないため、攻撃者は正規のBサービスのFQDNを取得できません。よって、そのFQDNのサーバ証明書を発行することもできません。その結果、攻撃者は次の2つのいずれかの方法で証明書を用意することになります。- 自己署名証明書
- Bサービスに似たFQDNのサーバ証明書
①の自己署名証明書は、通称「オレオレ証明書」と呼ばれ、Webサイト運営者が用意したCAが発行する証明書です。一般的な認証局から発行される証明書とは異なり、運営者自身が自ら証明を行う仕組みであるため、信頼されたルート証明書までのパス検証を行うことができません。この場合、Webブラウザは「証明書が信頼できない認証局によって発行された」ことを伝えるエラーメッセージを表示します。
②の別のFQDNのサーバ証明書を使用した場合、WebブラウザがアクセスしているFQDNとサーバ証明書に記載されたFQDNが一致しないことになります。この場合、Webブラウザは「証明書のホスト名が一致しません」や「サイトの証明書が、このサイトのアドレスと一致しません」などのエラーメッセージを表示します。
∴cd=
このサーバ証明書は,信頼された認証局から発行されたサーバ証明書ではない
このサーバ証明書に記載されているサーバ名は,接続先のサーバ名と異なる
(順不同)
- HSTSは、WebサイトがWebブラウザに対してhttpsでのアクセスを指示することで、中間者攻撃やデータの盗聴を防止するための技術です。アクセス先のWebサイトにHSTSが設定されている(レスポンスヘッダーにstrict-transport-securityが付与されている)場合、それ以降、WebブラウザはそのWebサイトに対する"http://~"でのアクセスを"https://~"のアクセスに置き換えます。
HSTSが設定されていない場合、HTTPでアクセスを行い、WebサーバがHTTPSのアドレスにリダイレクトするという流れになりますが、この際、1回は平文での通信(非暗号化通信)が行われます。HSTSが設定されていれば、この初回のHTTPアクセス時に、中間者攻撃や盗聴を受けるリスクを排除することができます。
設問では「エラーメッセージが表示される直前までのWebブラウザの動き」が問われています。従業員が"http://~"でBサービスにアクセスしようとした場合、Bサービスに設定されていたHSTSの効果により、Webブラウザは偽サイトに対するHTTPアクセスをHTTPSに置き換えます。そして、HTTPSでの接続時に偽サイトからサーバ証明書を受け取ります。その後、証明書を検証してエラーメッセージを表示するという流れです。したがって、サーバ証明書を受け取って検証するまでが、解答すべきWebブラウザの動作となります。
なお、HSTSが有効化されている場合、そもそもHTTPでのアクセスは行われないため、HTTPSにリダイククトされることもありません。このため「"http://~"でアクセスした後、"https://~"にリダイレクトされ・・・」という解答では誤りです。
∴HTTPのアクセスをHTTPSのアクセスに置き換えてアクセスする。その後,偽サイトからサーバ証明書を受け取る。
設問2
- 外部共有者のメールアドレスに自身の私用メールアドレスを指定する。
解説
- Bサービスのファイル共有機能について、表1で確認します。
- Bサービス上で、共有したいファイルの指定、外部の共有者のメールアドレスの入力、上長承認要求を行う
- 上長が承認すると、外部の共有者のメールのアドレスに外部共有リンクが送信される
SさんとYさんの会話では、上長が宛先メールアドレスや共有ファイルの内容を十分に確認せずに承認を行ってしまうケースがあることが話題に上がっています。上長による確認が機能していない状況では、従業員が意図的に不正なメールアドレスを共有先として指定し、外部の人物に対して外部共有リンクを送信することが可能になります。
従業員がこのリスクを悪用してファイルを不正に持ち出す場合、上長の確認漏れを狙って、自分の個人用メールアドレスを共有先として指定することが考えられます。これにより、外部共有リンクを通じて業務用ファイルを簡単にダウンロードし、そのまま社外に持ち出すことが可能です。
∴外部共有者のメールアドレスに自身の私用メールアドレスを指定する。
- 個人所有PCをM社内に持ち込み、従業員用無線LANに接続するために必要となる変更について問われています。表1のAP1~5によると、従業員用無線LANではMACアドレスフィルタリングが設定されています。MACアドレスフィルタリングは、アクセスされる機器に正当なユーザーのMACアドレスを登録しておき、接続してきた端末のMACアドレスと照合することで正当なユーザー以外のアクセスを拒否する機能です。
MACアドレスは、ネットワークインタフェースに付与されているハードウェア固有の番号ですが、OSの機能やソフトウェアの機能によって比較的容易に変更することができます。このため、個人所有PCのMACアドレスを正当な端末のものに偽造して、従業員用無線LANに接続されるリスクがあります。したがって、空欄eには「MACアドレス」が当てはまります。
∴e=MACアドレス
設問3
- EAP-TLSに必要な認証情報は,業務PCにしか格納できないから
- 来客用無線LANからインターネットにアクセスする場合の送信元IPアドレスをa1.b1.c1.d1とは別のIPアドレスにする。
解説
- EAP(Extensible Authentication Protocol)は、主に無線LANの802.1X認証で用いられるプロトコルです。EAPは、TLS、TTLS、PEAP、MD5など様々な認証方式をサポートしていて、本問で採用されている「EAP-TLS」は、TLSの仕組みを利用し、クライアントとサーバ間で相互に認証を行う方式です。この方式では、クライアントとサーバの双方に証明書が必要であり、証明書を用いることで互いに正当性を確認します。
- EAP-TLS
- サーバ証明書とクライアント証明書を使用して相互認証
- EAP-TTLS
- サーバはサーバ証明書を使用して認証。クライアントは暗号化された通信経路上で利用者IDとパスワードを使用して認証(独自プロトコルなので追加ソフトウェアが必要)
- EAP-PEAP
- サーバはサーバ証明書を使用して認証。クライアントは暗号化された通信経路上で利用者IDとパスワードを使用して認証
- EAP-MD5
- チャレンジレスポンス(利用者IDとパスワードのMD5ハッシュ値)を使用してクライアントを認証
IEEE 802.1Xの認証方式では、サプリカント、オーセンティケータ、認証サーバの3つの構成要素が必要となります。- サプリカント
- 認証を受けるクライアント端末
- オーセンティケータ(認証装置)
- サプリカントと認証サーバの間でEAPメッセージの中継を行う機器
- 認証サーバ
- 認証情報を保持し、実際に認証を行うサーバ
無線LANの場合、サプリカントはクライアント端末、認証装置はアクセスポイント、認証サーバはRADIUSサーバ(UDP)またはDIAMETERサーバ(TCP)として実装します。本問では認証サーバが使うUDP上のプロトコルが問われているので、RADIUS(1812/UDP)が適切です。サプリカントとオーセンティケータ間はEAPプロトコルで、オーセンティケータと認証サーバ間はRADIUSまたはDIAMETERプロトコルで通信が行われます。
∴RADIUS
- 〔fについて〕
EAP-TLSのクライアント証明書を使用した認証では、秘密鍵を使ったデジタル署名による検証が行われます。クライアント証明書にはデジタル署名の検証に使用する公開鍵が格納されており、これに対応するのは秘密鍵です。秘密鍵はクライアント端末に格納されます。さらに厳密に言うと、クライアントはクライアント証明書、クライアント証明書と対になる秘密鍵、CAのルート証明書を保管します。したがって、空欄fには「秘密鍵」が当てはまります。
∴f=秘密鍵
- 〔gについて〕
秘密鍵を業務用PCのTPMに格納する目的について問われています。秘密鍵が不正に持ち出された場合、許可されていないPCに証明書がインストールされ、従業員用無線LANに不正アクセスされるリスクがあるため、秘密鍵が持ち出されないように適切に管理する必要があります。
TPM(Trusted Platform Module)はマザーボードに直接取り付けられ、鍵ペアの作成、暗号化/復号処理、ハッシュ値の計算、デジタル署名の生成/検証などのセキュリティ関連機能を提供するチップです。
TRMには、不揮発性のRAMに暗号鍵やID、パスワード、デジタル証明書などの秘密鍵を保管する機能があります。秘密鍵をハードディスク内に保存している場合、端末の盗難や内部不正で外部から秘密鍵を読みだされるリスクがありますが、TPMは高い耐タンパ性を有しているため外部から不正に読み取ることは困難です。したがって、TPMに秘密鍵を格納するのは、秘密鍵の不正な持出しを防ぐことが目的です。文脈に合わせると、空欄gには「業務用PCから取り出せないように」などが当てはまります。
∴g=業務PCから取り出せないように
- 問題文には「従業員が自身の業務PCにインストールするのではなく,ディレクトリサーバの機能で業務PCに格納する」とあり、今回のケースではディレクトリサーバを使った配布で業務PCに格納する方法が適切であるとされています。
従業員自らがインストールする場合、何らかの方法(ファイルサーバ経由、メール経由、外部接続媒体経由など)で従業員へ認証情報を受け渡し、従業員が自身の端末にインストールする流れとなります。この場合、受け渡しのタイミングで認証情報がコピーされ、持ち出されるリスクがあります。一方、ディレクトリサーバの機能を使用して認証情報を配布する場合、従業員自身が認証情報を受け取ることがないため、認証情報が持ち出されるリスクがありません。認証情報が格納される端末を限定できるという点で、ディレクトリサーバによる配布のほうが優れています。
ディレクトリサーバによる配布による格納方法で問題がない理由が問われているので、上記を踏まえると次のような解答が適切となります。- 認証情報が業務PCだけにしか格納されないから
- 認証情報の格納先を業務PCだけに限定できるから
- 認証情報を業務用PC以外に格納させないから
∴EAP-TLSに必要な認証情報は,業務PCにしか格納できないから
- 方法2は「個人所有PCを来客用無線LANに接続し,Bサービスからファイルをダウンロードし,個人所有PCごと持ち出す」というシナリオです。このシナリオへの対策として行うNATの設定変更が問われています。
まず、表1のBサービスの概要には「M社の従業員に割り当てられた利用者IDでは,a1.b1.c1.d1からだけ,Bサービスにログイン可能である」と記載されています。この説明より、Bサービスには接続元IPアドレスで接続を制限する機能があることがわかります。もう少し深く考えると、IPアドレス制限が機能するにはM社のIPアドレスは固定されている必要がありますから、M社はプロバイダの固定IP割り当てサービスを利用していることを示しています。
次に、表4の注1)を見ると、NAT機能について「現在の設定では有効の場合,送信元IPアドレスがa1.b1.c1.d1に変換される」とあります。このため、従業員用無線LANからインターネットに接続した場合でも、来客用無線LANからインターネット接続した場合でも、NATにより同じグローバルIPアドレスが割り当てられます。Bサービスから見た場合、来客用無線LANから接続された端末も、従業員用無線LANから接続された端末も区別がつかない状態です。
ここで、表3項番4のWAN-IF1を見てみると、FWのWAN側インタフェースのサブネットマスクとして 255.255.255.248 が設定されています。このサブネットマスクは、先頭29ビットをネットワークアドレス、残り3ビットをホストアドレスとするものです。前述の固定IP割り当てサービスでは、1個、8個、16個などIPアドレスの割当て数を選ぶことができますが、ホストアドレスのビット数よりM社では8個のIPアドレスを契約しているということです。
NATには複数のグローバルIPアドレスを登録することができますから、これを活用すれば、NATの設定変更により、従業員用LANと来客用無線LANでグローバルIPアドレスを分けることができます。来客用無線LANのIPアドレスをa1.b1.c1.d1とは別のIPアドレスにすれば、来客用無線LANからBサービスのアクセスをIPアドレス制限機能により遮断することが可能です。
なお、NATの設定変更とDサービスの導入は別の案であるため、Dサービスの導入を前提として「来客用無線LANのNATを無効にする」という解答は不適切です。Dサービスの利用がない状態で、来客用無線LANでNATが無効化されると、来客用無線LANからインターネット接続ができなくなるためです。
∴来客用無線LANからインターネットにアクセスする場合の送信元IPアドレスをa1.b1.c1.d1とは別のIPアドレスにする。
- Dサービスを利用する案は、簡潔に言うと、会議室にSIM付のDルータを設置することで、既存のインターネットゲートウェイとは別のインターネットゲートウェイを構築するというものです。
問題文中には次の記述があります。- 来客持込端末からDHCPサーバとhサーバへの通信は不要になる
- Dルータでは、DHCPサーバ機能及びDNSキャッシュサーバ機能を有効にする
不要となるのはサーバへの通信です。現在のサーバ構成は、業務サーバ、DHCPサーバ、DNSサーバ、ディレクトリサーバですから、このうちのどれかということになります。
業務サーバ・ディレクトリサーバは、そもそもアクセスが許可されていませんから対象外です。Dサービスを導入した場合、DHCPサーバとDNSサーバの機能がDルータにより提供されるので、来客持込端末からこの2つへのサーバの通信は不要になります。DHCPサーバは本文中に記載があるので、空欄hにはもう一方の「DNS」が当てはまります。
∴h=DNS
- Dサービスを用いることで、来客持込端末の社内ネットワークへの接続が不要となるため、来客持込端末に関わる設定を削除します。来客無線LANのネットワークアドレス 192.168.10.0/24 に関係するものを確認していきます。
【表3】
IPアドレスが 192.168.10.1 である VLAN ID 10 は、来客無線LANに割り当てられているVLAN IDなので、これが不要となります。したがって、項番1が削除対象となります。
【表4】
来客無線LANのネットワーク 192.168.10.0/24 が関連しているのは項番1、4です。項番1は来客無線LANから社内ネットワークを経由したインターネット通信、項番4は来客無線LANからDNSサーバへの通信です。Dサービス導入後はどちらも不要となるので、項番1、4は削除対象です。なお、DHCPはリレーエージェント機能でFWが中継する形となるので、許可ルールは最初からありません。
∴表3=1
表4=1,4
