情報処理安全確保支援士過去問題 令和6年春期 午後 問2 ⇄問題PDFと解説を画面2分割で開く ⇱問題PDF
お使いのブラウザはPDFファイルの表示をサポートしていません。問題PDFのリンクよりダウンロードして参照してください。
設問1 解答入力欄 解答例・解答の要点 正解を表示する a:公開Webサーバ,取引先向けWebサーバを攻撃対象に,HTTP GETリクエストを繰返し送る。 解説 〔a について〕 HTTP GET Flood攻撃について問われています。 HTTP GET Flood攻撃は、DDoS攻撃(分散型サービス妨害攻撃)の一種で、攻撃者がサーバに大量のGETリクエストを繰り返し送りつけることで、CPU、メモリ、帯域、ソケットなどサーバのリソースを消耗させ、最終的には応答不能にさせます。GETリクエストは、サーバに引き渡すパラメータをURLに付けて送信する方法です。 HTTPのGETリクエストを使用した攻撃であるため、標的となるのはWebサーバです。H社ネットワークに対してHTTP GET Flood攻撃を仕掛ける場合、DMZ上にある2つの公開Webサーバが攻撃対象となり、この2つにHTTP GETリクエストを大量に送るのが具体的な攻撃の手口となります。 ∴a =公開Webサーバ,取引先向けWebサーバを攻撃対象に,HTTP GETリクエストを繰返し送る。 トラフィック量のしきい値が低すぎる場合に生じる問題について問われています。 しきい値とは、境界となる値のことです。本問では、トラフィック量がしきい値を超えた場合に異常として検知し、それを攻撃と判断することとしています。しきい値が低すぎると、通常のトラフィック量でも異常として検知してしまう可能性があります(フォールスポジティブ)。一方で、しきい値が高すぎると、攻撃による異常なトラフィック量を検知できなくなります(フォールスネガティブ)。一般的には、対象のフォールスポジティブは許容し、フォールスネガティブが低くなるようにしきい値を設定する必要があります。 したがって、しきい値が低すぎることによる弊害とは「正常な通信を異常として検知してしまう」ことです。 ∴正常な通信を異常として検知してしまう。 〔b c について〕 DNSリフレクション攻撃の踏み台にされることに対する対策について問われています。 DNSリフレクション攻撃は、反射型DoS攻撃(DRDoS)の一種で、踏み台となるDNSサーバに対して、攻撃対象のIPアドレスを偽装した大量のDNSリクエストを送信することで、踏み台のDNSサーバが攻撃対象に大量のレスポンスを送るように仕向ける攻撃です。これにより、攻撃対象のサーバはリクエストを処理しきれず、応答不能になります。 DNSリフレクション攻撃で踏み台にされるのは、外部に公開されているフルサービスリゾルバ(DNSキャッシュサーバ)です。H社では、DMZに権威DNSサーバとフルサービスリゾルバの機能を兼ねたDNSサーバが配置されているため、フルサービスリゾルバが外部からアクセス可能であり、踏み台にされるリスクがあります。この構成はセキュリティ上好ましくないので、機能を権威DNSサーバとフルサービスリゾルバに分離し、権威DNSサーバはDMZに、フルサービスリゾルバは内部ネットワークに配置する対策が有効です。本問では権威DNSサーバがDNS-K、フルサービスリゾルバがDNS-Fです。 権威DNSサーバは外部からの名前解決要求に応答するサーバなので、DNS-Kは、インターネットからのDNSクエリを受け付ける必要があります。これに対して、DNS-Fは、社内のPCからのDNSクエリ(再帰問合せ)を受け、インターネット上の他のDNSサーバに反復問合せを行うサーバなので、社内からインターネット向けのDNS通信を許可する必要があります。したがって、インターネットから社内へのDNS通信だけを許可する(空欄b)のは「DNS-K」、社内からインターネットへのDNS通信のみを許可する(空欄c)のは「DNS-F」です。 ∴b =DNS-K c =DNS-F
設問2 解答入力欄 解答例・解答の要点 正解を表示する d:攻撃者が,正規のVPNダイアログに利用者IDとパスワードを入力すると,正規利用者のスマートフォンにセキュリティコードが送信される。 e:正規利用者が受信したセキュリティコードを,罠のWebサイトに入力すると,攻撃者がそれを読み取り,正規のセキュリティコード入力画面に入力することで認証される。 認証情報の入力は,受信したメール内のURLリンクをクリックして起動した画面には行わず,VPNダイアログにだけ行う。 解説 (ア)の多要素認証機能は、利用者IDとパスワードによる認証に加えて「スマートフォンにSMSでセキュリティコードを送り,その入力を確認する方式」です。表5の攻撃例1では、フィッシング攻撃によって多要素認証が突破されてしまう攻撃例が途中まで記述されており、利用者がフィッシングサイトにアクセスしていることを踏まえて、以下のような攻撃のシナリオが考えられます。正規利用者が、罠のWebサイトに利用者IDとパスワードを入力する。攻撃者は正規利用者の利用者IDとパスワードを入手する 攻撃者は、正規のVPNダイアログにアクセスし、利用者IDとパスワードを入力する。正規利用者のスマートフォンにセキュリティコードが送信される 正規利用者は、罠のWebサイトにセキュリティコードを入力する。攻撃者は正規のセキュリティコードを入手する 攻撃者は、正規のセキュリティコードをVPNダイアログに入力し、不正に認証される ②が空欄dに、③が空欄eに対応するので、それぞれの流れを解答します。 ∴d =攻撃者が,正規のVPNダイアログに利用者IDとパスワードを入力すると,正規利用者のスマートフォンにセキュリティコードが送信される。 e =正規利用者が受信したセキュリティコードを,罠のWebサイトに入力すると,攻撃者がそれを読み取り,正規のセキュリティコード入力画面に入力することで認証される。 なお、攻撃例2にある多要素認証疲労攻撃とは、何らかの方法で入手した利用者IDとパスワードで何回もログイン試行を繰り返すことで、プッシュ通知の誤タップを狙い、それによって多要素認証を突破する攻撃です。 フィッシングメールに引っかからないようにするために、従業員に周知する内容について問われています。 H社では業務上、URLリンクが含まれるメールを送っているので、URLリンクのクリックを禁止することはできない問題文に記載されています。そこで、URLをクリックすることはやむを得ないこととし、その次の段階で攻撃を防ぐ方法を考えます。 今回の攻撃では、VPNダイアログの画面を装った偽のWebサイトに利用者IDとパスワードを入力させることが狙いです。表2「VPN-Hの機能概要及び設定(抜粋)」には、「VPNクライアントソフトウェアを導入したPCとの間でVPN通信を行う」とあり、VPNダイアログはVPNクライアントソフトウェアを起動した際に表示される画面と説明されているため、URLをクリックして開いた画面は罠サイトのものであると断言することができます。したがって、URLをクリックして表示された画面には認証情報を入力しないように周知することで、この攻撃の成立を防ぐことができます。一般的なフィッシング対策として、URL(ブラウザのアドレスバーを含む)のドメインを確認するなどもありますが、本問では「従業員全員が理解できる内容」という条件付きなので除外されます。 ∴認証情報の入力は,受信したメール内のURLリンクをクリックして起動した画面には行わず,VPNダイアログにだけ行う。
設問3 解答入力欄 解答例・解答の要点 正解を表示する SPAパケットはユニークであり,同じパケットを再利用すると破棄されるから 解説 設定Pとは、VPN-Hのステルス化機能で「どのような通信要求に対しても応答しない"Deny-All"を設定した上で,あらかじめ設定されている順番にポートに通信要求した場合にだけ所定のポートへの接続を許可する」というものです。この設定は「ポートノッキング」と呼ばれます。 ポートノッキングでは、通常は閉じているポートを「ノック」と呼ばれる特定のシーケンス(順番)で開くことで、正当なユーザーがサービスにアクセスできるようにします。ノックのシーケンスは、特定のポートへの特定の順番での接続試行(例えば、TCP SYNパケット)として実行されます。正しいシーケンスが受信されると、ファイアウォールやVPNゲートウェイが特定のポートを開き、アクセスを許可します。 設定Pを突破するには、あらかじめ決められた順番に通信要求を送信する必要があります。言い換えれば、通信要求の順番さえ分かれば突破できてしまいます。ポートノックのシーケンスは暗号化されていないため、攻撃者がパケットを盗聴して通信要求の順番を知ることが可能であり、盗聴された場合、その順番を再現したリプレイ攻撃により設定Pを突破することが可能となります。この点を解答します。 ∴盗聴したパケットと同じ順番に通信要求を送信する。 SPA(Single Packet Authorization)プロトコルを使うことにより、パケットが盗聴された場合でも不正接続を防ぐことができる理由が問われています。 SPAは、ポートノッキングの進化版とも言えるセキュリティ手法で、TCPにおいて接続要求に当たるSYNパケットに認証情報を含ませることにより、1パケットで、ポートノッキングの"Deny-All"のように外部からの秘匿と、正規の利用者かどうかを判別を同時に実現する技術です。 SPAパケット内の情報は基本的には暗号化されているため、攻撃者が認証情報を傍受しても内容を解読は困難です。仮に盗聴できたとしても、SPAパケットは、ワンタイムパスワード・ランダム値・ハッシュ値により完全に一意なデータとなるので、ポートノッキングの時のように攻撃者がリプレイ攻撃をしても、また盗聴したデータの一部を変えて送信しても、パケットは破棄されることになります。これがポートノッキングと比較で、不正突破を防ぐことができる理由となります。 ∴SPAパケットはユニークであり,同じパケットを再利用すると破棄されるから
設問4 解答入力欄 解答例・解答の要点 正解を表示する ・DDoS対策機能を有するCDNサービス ・クラウド型ファイアウォールサービス ・ISPが提供するDDoS防御サービス ・取引専用PC以外からの通信は取引先向けWebサーバに到達しないから ・UTMの設定変更によって,ボットネットからの通信が遮断されるから ・UTMの設定変更に伴って,外部からの接続対象サーバではなくなったから 解説 DDoS攻撃を防ぐため、通信回線を強化できる外部サービスについて問われています。 通信回線にかかる負荷を低減するための方法として最初に思い付くのは、CDN(Contents Delivery Network)の導入かと思います。CDNは、世界中に分散配置されたキャッシュサーバにWebサイトのコンテンツを保存し、コンテンツをユーザーに最も近いサーバーから配信するサービスです。もともとCDNはWebコンテンツの高速かつ安定的な配信を目的としたものですが、トラフィックの分散、CDNが有するトラフィックフィルタリング、キャッシュ機能などにより、オリジンサーバ(H社のサーバ)への影響を抑えることができるため、結果的にDDoS攻撃への耐性が高まり、自社のネットワークの被害を最小限に抑えることができます。 クラウド型ファイアウォールサービスは、Firewall as a Service(FWaaS)とも呼ばれ、インターネット上で動作するファイアウォール機能を提供するサービスです。ネットワークを流れるトラフィックをリアルタイムで分析し、正常なトラフィックと不正なトラフィックを区別しているため、DDoS攻撃のトラフィックを早期に検出し、防御することができます。 ISPが提供するDDoS防御サービスは、ISPのバックボーン側でDDoS攻撃を検出し、防御することができるサービスです。組織のネットワークに到達する前に不正なトラフィックをブロックするため、回線を守ることができます。導入について新規のサーバやソフトウェアを導入する必要がないのも利点です。 ∴・DDoS対策機能を有するCDNサービス ・クラウド型ファイアウォールサービス ・ISPが提供するDDoS防御サービス 取引先向けWebサーバは、特定の取引先のみがアクセスするため外部に広く公開しておく必要はありません。〔DDoS攻撃に対する具体的対策の検討〕では、取引先にSソフトを導入した取引専用PCを貸与し、VPN確立後に取引先Webサーバにアクセス可能とする旨の記載があります。このシナリオでは「取引専用PC→S-APPL→取引先Webサーバ」というように、S-APPLを経由して取引先Webサーバにアクセスさせ、外部からの直接の接続を防ぎます。外部から取引先Webサーバに直接接続しようとする通信は発生しなくなるので、UTMでは、インターネットから取引先Webサーバに向けた通信を不正なトラフィックとみなしてブロックすることが可能です。 この設定変更により、DDoSの攻撃パケットはUTMで遮断され、取引先向けWebサーバに到達することはなくなります。これがDDoS攻撃の影響をさらに軽減できる理由です。本文中で「UTMのファイアウォール機能で,インターネットから取引先向けWebサーバへの通信を拒否するように設定する」とあるため、UTMによる攻撃パケットの遮断を直接の理由としても良いでしょう。 ∴・取引専用PC以外からの通信は取引先向けWebサーバに到達しないから ・UTMの設定変更によって,ボットネットからの通信が遮断されるから ・UTMの設定変更に伴って,外部からの接続対象サーバではなくなったから