情報処理安全確保支援士2022年(令和4年)春午後2問2(3,010 文字)

問題冊子、解答例、採点講評はこれ

本文(設問1)

問題文(設問1)

解説(設問1)

(1)(2)はCDNの話。知識がないと解けないので説明をします。本文にある通りですが、特に動画のような重いコンテンツの対応をサーバ1つでやると負荷が凄いことになります。なのでユーザとサーバの間にキャッシュサーバを置いてこいつに応答させるようにします。キャッシュサーバを複数置くことで通常時の負荷の分散になるほか、DDo攻撃のような負荷をかける攻撃にも耐性を持てます。
答え a : キャッシュ, b : DDoS
(3)は実際のCDNの動きについてというかHTTPリクエストのどこにFQDNが指定されるかですが、Hostヘッダです。
答え Host
(4)はドメインフロンティング攻撃の対策として自身が頻繁にアクセスする他社WebサイトYのCDNが名前解決したIPアドレス宛ての通信を遮断したらどうなるか。それはつまりYのCDNが解決するサイトにアクセスできなくなるということです。Y経由じゃなくてもそのIPアドレスをもつサイトにはつながりません。
答え Y-CDN-U-FQDNを名前解決したIPアドレスと同じIPアドレスをもつWebサイト
(5)は他の対策としてアウトバウンド通信の復号と高機能な通信解析ができるようにした上で何とHTTPリクエストのHostヘッダが一致していることを見るか。そもそも今回のドメインフロンティング攻撃はマルウェアがY-CDN-U-FQDNを名前解決したサーバとのTLS接続を確立しつつも、HTTPリクエストではZ-FQDNを指定したことで、マルウェアがY-CDN-U-FQDNと通信しているように見えるが実は攻撃者サーバと通信しているというものです。じゃあ対策はTLSを復号して判明する通信相手とHTTPのHostヘッダの一致を見ようとなるわけです。
答え TLSの接続先サーバ名

本文(設問2)

問題文(設問2)

解説(設問2)

(1)はKerberos認証に対する攻撃で、TGTの偽装はサーバでなんとかなるが、ST偽造はどうにもならないのはなぜか。フローを見ればわかりますが確かに認証サーバはSTを発行するものの、STをPCがGrWサーバに対して使うときは認証サーバを経由しません。つまりSTが本物であれ偽物であれ認証サーバを通らないので、認証サーバで検知できるはずがありません。Pass-the-Ticketと呼ばれる攻撃になります。
答え STは認証サーバに送られないから
(2)はSTが取られてパスワード総当たりを受けると連続ログイン失敗対策を入れても無駄なのはなぜか。STはアクセス対象のサーバの管理者アカウントのパスワードのハッシュ値を鍵として暗号化されているということで、STの復号自体はオフラインで総当たりができてしまいます。結果ログイン試行をしないので連続ログイン対策は無駄です。Kerberoastingと呼ばれる攻撃になります。連続ログイン失敗対策が無駄=ログイン試行が0か少ないというところから進めたいところ
答え 総当たり攻撃はオフラインで行われ、ログインに失敗しないから

本文(設問3)

問題文(設問3)

解説(設問3)

(1)は返ってきたSAML認証。安心感がありますね。HTTPリクエストのクエリ文字列(ウ)にSAML Requestが入ってます。ここで出てきた
答え ウ
(2)(3)はSAML Responseのデジタル署名は[f]のもの、SAMLアサーションの[g]がないことを確認の穴埋め。SAML Responseを作ったのはIDaaSですので署名は当然IDaas(ア)です。そして検証ということでSAMLアサーションの偽造がないことを確認します。
答え f : ア, g : 偽造
(4)はIDaaSとSaaSの事前共有情報について。表2にURLという単語が処理1でしかでないというのがまあ答えです。デジタル証明書は処理4で使いますがなぜ3で使うのかがよくわからない
答え h : 1, i, j : 3, 4(順不同)

本文(設問4)

問題文(設問4)

解説(設問4)

(1)はOAuth2.0の穴埋め。利用者が利用したいサービスは何かと言えばSサービスなのでkはウ。で、利用者情報管理はGrW-Gなのでmがアで残りのlがイですね
答え k : ウ, l : イ, m : ア
(2)は図9の後半部分について。(10)の時点でkのところに利用者情報が来てるのでイは除外するとして、表3の(2)にSサービスがGrW-G(m)にスケジュールを取りに行くと書いてあるのでエしかありません。
答え エ
(3)はCSRF対策。利用者のなりすましを防ぐ必要があるという話になるのでSサービスが利用者に送り付ける(2)の段階でstateパラメタを付与し、利用者がサービスに情報を送る(6)の段階で比較します。
答え o : 2, p : 6
(4)はSサービスのアプリが入ったスマホに変なアプリがGrW-Gにアクセスするための認可コードを横取りする攻撃に対して、Sサービスのアプリがチャレンジコードを作成、認可要求に追加して検証コードをトークン要求に追加、二つのコードを比較するようにすると検証コードを知らない攻撃者からのトークン要求は排除できるという流れの名前。とはいえ知識なので解説
ASLR : 実行コードやライブラリなどが利用するメモリをランダム配置してメモリの脆弱性探知やバッファオーバーフローを阻止する
EIAM : 企業の従業員IDごとの管理認証認可
PKCE : 本文通り
SCIM : 複数サービス間でユーザID情報のやり取りを自動化する規格
答え ウ

本文(設問5)

問題文(設問5)

解説(設問5)

(1)はOpenID Connectの穴埋め。とりあえず動画の概要を投稿するのはTの投稿サイトのようなので、tはウです。次にサービス要求はT社じゃないならX社なのでrはオで、その認証をするのはT社らしいのでsがエです。
答え r : オ, s : エ, t : ウ
(2)はIDトークンがいつ付与されるか。この問題含めて最後まで知識みたいなものなのですが8で付与されます。
答え 8
(3)はこのIDトークンの各要素が何でエンコードされるか。エンコードと言われたらイのBase64しか思いつきません。
答え イ
(4)はセキュリティ対策。stateパラメタはともかくnonce値を[w]に含めて送信し、[x]に含まれるnonce値を検証して不正利用を防ぐというものですがまあ知識なので覚えてください。
答え w : 認証要求, x : IDトークン

終わりに

認証フルセットみたいなハードな問題
よく本やらでも出てくるKerberosからOpenIDまで詰め込みすぎでしょまである問題でした。当日やるにはしんどいと思う

主な参考サイト

CDNとは? ～ノンエンジニア向けにわかりやすく解説～
HTTPリクエスト/レスポンスの構成要素を初心者にも分かるように解説してみた
Kerberos認証をざっくり説明する
ASLRとは【用語詳細】
ゼロトラストとは? 考え方や仕組み・実現方法などを徹底解説
OAuth2.0 PKCEとは 〜Stateとの違い〜
SCIMとは? 概要、仕組み、SAMLとの役割の違いについて
Open ID Connectとは?概要とメリットを解説!