H29春 午後Ⅰ  問1 設問1(3)

りえぴんさん  
(No.1)
解答は
送信元:管理用PC
宛先:LDAPサーバ
サービス:SSH
となっていますが、2点の疑問点があります。

(疑問点1)
宛先が「CRMサーバ」ではなぜ不正解なのかが理解できていません。

私が考えた点(考えた道筋)は、
FWのルールでSSHのサービスを許可しているのは、送信元が管理用PCのルールだけなので、FWでSSHが通過している通信を盗聴できれば、その送信元は「管理用PC」だとわかる。
宛先は、乱暴に言えばサーバセグメント内のどれでもよいことになるので、宛先は「LDAPサーバ」「CRMサーバ」どちらでもOKということにはならないのかな・・・と悩んでいます。

(疑問点2)
上記、私が考えた点(考えた道筋)は、「FWのルールでSSHのサービスを許可しているのは、送信元が管理用PCのルールだけ」という、「攻撃者がFWのルールを知っている」ことが前提となっています。
そもそも、この前提が間違っているのではないかと、自信がありません。
攻撃者は「何も知らない」状態から通信の盗聴を始めるのではないかと思います。

どのような考え方で答えを導くのか、教えて下さいますでしょうか。よろしくお願いします。
2024.02.15 11:12
pixさん 
SC ダイヤモンドマイスター
(No.2)
本設問は細かい点の言及は難しいです。ですので推測になりますが概要を回答いたします。

>(疑問点1)
>宛先が「CRMサーバ」ではなぜ不正解なのかが理解できていません。
単純に設問1-(3)の解答群には「CRMサーバ」は存在しないため、解答しようがないです。
作問者の観点として、サーバネットワーク内にある「LDAPサーバ」でも「CRMサーバ」の
どらでもよかったと思います。
しかし、2つを解答群に挙げると、解答が複数できてしまいます。
そのため、代表として「LDAPサーバ」のみ挙げたのではと推測します。

>(疑問点2)
>攻撃者は「何も知らない」状態から通信の盗聴を始めるのではないかと思います。
この点についても明言されいないので推測になります。
P4 図3 2.「AさんのPC上で通信を盗聴して、LDAPサーバ及びCRMサーバのIPアドレスを
特定する」とあります。
この文章から、今回のマルウェアは顧客情報窃取を目的としたAPT攻撃の可能性が
考えられます。そのため、内部の構成についてはある程度目星がついていたと考えます。

理由の一つですが、CRMサーバへのSSHでログインは事前申請が必要です。
また、事前申請なしでCRMサーバへSSHによるログインがあった場合、電子メールで
通知されてしまいます。
このような状況から、このCRMサーバはD社にとって非常に重要な顧客情報が
管理されており、裏を返せばこの情報が狙われるような状況を想定しているとも
伺えます。
この点も今回のマルウェアがAPT攻撃を意図している理由を補強します。

>「FWのルールでSSHのサービスを許可しているのは、送信元が管理用PCのルールだけ」
>という、「攻撃者がFWのルールを知っている」ことが前提となっています。
P4 図3 5.「AさんのPCからLDAPサーバ及びCRMサーバへのSSHポートへのアクセスを
試みるが、アクセスに失敗する。」とあります。
この文書から、
・最初にAさんのPCからアクセス試行、しかし失敗
・次の手段として管理用PCからアクセス試行、成功
という流れになります。
ですので、「FWのルールを事前に知っている」ことを敢えて言及する必要は
ないと思われます。
2024.02.15 11:56
りえぴんさん  
(No.3)
pixさん、回答ありがとうございます

>単純に設問1-(3)の解答群には「CRMサーバ」は存在しないため、解答しようがないです。

申し訳ありません、私の質問も言葉足らずでした。
解答群に「CRMサーバ」がなく、なぜ、わざわざ「LDAPサーバ」が入っているんだろう、、、そのようなところ含めモヤモヤした疑問でした。
解答群の設定はどうであれ、「サーバネットワーク内にある「LDAPサーバ」でも「CRMサーバ」のどらでもよかったと思います。」ということがわかり、良かったです。

(疑問点2)でご回答くださった内容について理解しました。ありがとうございます。
ただ、同様の問題・設問があったときに、「明言されていないことを、汲み取ることができるか」は、なんだか自信が持てないままです。
いろんな問題に触れて、脳を鍛えるように頑張ります。
2024.02.15 13:25

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop