情報処理安全確保支援士2017年(平成29年)秋午後2問1(5,887 文字)
問題冊子、解答例、採点講評はこれ
またIPAがリダイレクト設定せずにURL変えたりしなければつながるはずです
本文(設問1)
本文要約(設問1)
[前提]
① Z社はZシステムと呼ばれるネットワークカメラを使ったクラウド型ビデオ監視システムを提供している。防犯やペットの様子確認などに使われる。
② ZシステムはWebサーバ→WebアプリケーションサーバはHTTP通信、内部ネットワーク→DMZはFWで拒否。WebサーバのコンテンツやWebアプリケーションサーバのプログラム変更はZクラウド管理者のみが実施。ログは残る
[Zカメラ詳細]
① 組込みOSであるL-OS(OS名)を使用、無線LANでZクラウドと接続
② 最初の無線LAN設定を除いて全操作はZアプリからZクラウド経由で行う。
③ 外部記憶媒体は接続できず、記録はすべて大容量ストレージに保管される。
④ 無線LAN経由では外部からの要求を待ち受けない。
[Zクラウド詳細]
① 利用者情報とZカメラの登録変更を扱うWeb IFとZアプリからカメラ操作と動画参照を行うアプリIF、Zカメラから動画を受信するのとファームウェア配信を行うカメラIFがアプリケーションプログラムとして存在。
② 新規利用者はWebブラウザから利用者情報登録を実施。利用者番号が新規に生成付与される。
③ 登録した利用者情報と利用者番号は暗号化されてDBに格納される。パスワードはDBMSで暗号化される。DBへのアクセスはログが残る。
④ WebブラウザからWeb IFにアクセスすると利用者情報の変更ができる。
⑤ Web IFにアクセスし、登録したIDとパスワードでログインした後に、Zカメラを紐づける。この時にシリアル番号と製品パッケージに同梱されている初期設定用パスワードの2つが必要。紐づけ後は暗号化されてDBに格納される。情報変更時はメールで通知がなされる。
⑥ 利用者IDごとにカメラ1台で12時間の動画を無償で保管できる。
⑦ インターネット→Webサーバ接続はHTTPSのみ。Webサーバ⇔WebアプリケーションサーバはHTTP。Webアプリケーションサーバ⇔DBサーバはDBMS固有プロトコルで通信。
⑧ ZカメラにカメラIFのURL, ZアプリにアプリIFのURLが入っており、HTTPSのPOSTメソッドで通信する。
⑨ ZカメラはカメラIFとの通信ごとにシリアル番号、初期設定用パスコードのハッシュ値、ファームウェアバージョン情報を送信する。
⑩ Zクラウド→Zカメラのファームウェア配信などはZカメラが定期的にカメラIFにアクセスすることで行われる。
[Zアプリ詳細]
① インストール時はUUIDバージョン4形式の128ビットデータ(UUID)を生成して端末内に保存。ZアプリにWeb IFで登録した利用者IDとパスワードを入れて、Zアプリが利用者ID、パスワード、UUIDをアプリIFに送信。アプリIFが利用者IDとパスワードを認証したらUUIDを利用者IDに紐づけて保管する。(UUIDは最大5個まで保管可能)
② 2回目以降はZアプリがアプリIFにUUIDを送信、利用者情報に変更がなければそのまま認証され、変更があるか紐づいた利用者IDがなければもう一度利用者IDとパスワードを入力してやり直す。
③ ZアプリがBluetoothでZカメラに接続、無線LAN設定を行う。Zカメラはシリアル番号と初期設定用パスコードで利用者認証を実施する。
④ 利用者認証後はカメラ操作か動画参照ができるようになる。
[IoT機器マルウェア感染]
① 大規模DDoS攻撃を引き起こす流行のマルウェアMにZカメラも感染する可能性があることがわかったので対策チームを編成。
② ZカメラにはL-OSにログインできる管理者アカウントが有効であること、工場出荷時設定の管理者アカウントのパスワードが単純で、利用者が変更できない脆弱性があることがわかった。
③ マルウェアMはHTTPでC&Cサーバと通信後、TELNET接続やSSH接続を試していく。接続に成功したらよく使われるログインIDとパスワードのリストを用いてログインを試行、成功したらIPアドレスやポート番号、ID、パスワードをサーバPに送信する。サーバPはサーバRに情報を送信、サーバRがログインしてwgetかtftpコマンドでマルウェアMを流し込んで実行するのを繰り返す。
[Zカメラの検査と対策]
① 検査項目[a]ではTCPポートにSYNを送信、応答結果からポートが開いているかどうかを確認し、TCPポート2323が開いていることが確認された。
② その他TELNETでの接続ができること、ログイン失敗でのアカウントロックがないこと、wgetコマンドで外部サーバからファイルがダウンロードでき、起動できることが確認された。また、起動したプロセスが[b]できるかを確認した。
③ ①②よりZカメラはマルウェアM等に感染する可能性があるといえる。また、①についてはデバッグ用プログラムとその起動スクリプトが出荷版ファームウェアにそのまま残っていたので、出荷済のものも配慮しつつ対策を依頼した。他の脆弱性は開発部署で対処した。
問題文(設問1)
解説(設問1)
(1)はポートを1から順番に確認すること。ポートスキャンは閃いたけどSYNを送信する場合はSYNスキャンとのこと。
答え SYNスキャン
(2)はポートの状態によって返ってくるものが変わる話。3wayハンドシェイクの話で、SYN→SYN/ACK(カ)→ACKといけば通信成功で、RST/ACK(エ)が帰ってきたら閉じてます。電源ごと落ちてたら応答なし(ク)という可能性もあると思います。
答え
開いている場合 : カ
閉じている場合 : エ ク
(3)はZカメラにダウンロードされたファイルが起動した後何をするかですが、通信してC&Cに…というマルウェアMの話をそのまま書きます。
答え HTTPを用いて、インターネット上のサーバと通信
(4)は出荷済品含めてバグ対応するにはという話ですが、今の時代にはよくあるバグ対応アップデートです。iOS16.5.1(c)とかiOS16.6がそんな感じで出てました。
答え デバッグ用プログラムとその起動スクリプトを削除したファームウェアを作成し、Zカメラに配布する。
本文(設問2)
本文要約(設問2)
[Zシステムのリスク]
① Zカメラの脆弱性はわかったので、Zカメラ⇔カメラIFの通信(カメラIF通信)、Zクラウド、Webブラウザ⇔Web IF通信、Zアプリ、Zアプリ⇔アプリIF通信も見る。
[カメラIF通信]
① カメラIF通信は[c]による暗号通信盗聴、[d]をつかった偽Zクラウドへの誘導の可能性があるとされた。
② 暗号化通信盗聴についてはTLS終端装置付きプロキシサーバでZカメラ⇔Zクラウド間のHTTPS通信内容を復号できるかを検査し、終端装置にクライアントとのTLS接続で使うサーバ証明書を複数準備して証明書の違いによる動作の違いを見る。
③ 偽Zクラウドで稼働する偽カメラIFにZカメラを接続して動くかを見るほか、偽カメラIFで偽Zクラウドが動画を受信できるかを見る。偽ZクラウドのWebサーバのサーバ証明書は②のTLS終端装置で使用したものとする。
④暗号化されていないか弱い暗号化の無線LAN盗聴に対しては、[e]によって暗号化されていることから問題ないと判断した。
⑤ ②ではサブジェクトのコモンネーム(CN)がZクラウドのFQDNである証明書1とCNがZクラウドのFDQNでない証明書2をプライベート認証局で発行してTLS終端装置で1つずつ使う。なお、検査時はプライベート認証局のルート証明書をテスト対象のZカメラに、信頼されたルート証明機関のものと登録はしていない。
⑥ ②の検査の結果、証明書1だと通信が可能で復号もできたが証明書2だと通信が不可だった。
⑦ ③の検査の結果、証明書1だと偽Zクラウドに接続、Zカメラの操作と動画受信ができたが証明書2だと偽Zクラウドに接続できなかった。
問題文(設問2)
解説(設問2)
(1)は盗聴方法とZクラウドへの誘導の話。盗聴に使えそうなものが中間者攻撃(カ)しかないような気がします。そして誘導、正規でないところへ遷移させるのはキャッシュポイズニング(ア)。IPAの流行でしょうか毎回見てる気がする。そして他はマルウェアに感染させるとかDDoSやるぞ見たいな気概を感じる解答群です。
答え c : カ, d : ア
(2)は通信の暗号化ですがそりゃHTTPSでしょう。
答え HTTPS
(3)は⑤でなぜ信頼されたルート証明機関のものと登録しなかったのかについて。攻撃者が信頼されたルート証明書を持っているはずがないので、その条件に合わせることが目的かと思いましたが、それだけでは足りないらしい。
証明書1と2の違いは信頼されたルート証明書かどうかではなく、FQDNがZクラウドのものかそうでないのかが重要(信頼の有無は「なお」書き)で、これを確認したいというところのようです。
答え 証明書パスの検証が行われているかを確認できなくなるから。
本文(設問3)
本文要約(設問3)
① Zクラウドについて、[A1]~[D2]の項目と対策()書きは以下の通り。
[A1]利用者アカウントなりすまし(Web IF, アプリIFの不正ログイン対策不足)
[A2]管理者アカウントなりすまし(利用者居認証とアクセス元端末制限があるのでOK)
[B1]DDoS攻撃(OK)
[C1]アプリケーションプログラム脆弱性をついた攻撃(軽減策なし)
[C2]OSやミドルウェアなどのシステム基盤脆弱性をついた攻撃(未確認)
[D1]内部犯(省略) [D2]内部者の過失(省略)
② 動画漏洩はA1, A2, C1, C2, D1, D2で起こる。ZクラウドのWebサーバ上コンテンツの書き換えは[f]で起こる。
③ ログイン制限は大事だが、リバースブルートフォース攻撃やリスト型攻撃には効かない。IDパスワードに加えて電話番号や電子メールアドレスの情報を入れるのはリバースブルートフォース攻撃には効くけどリスト型攻撃には効かないので、Zクラウドと利用者だけが知っている情報を入れるようにするとよい。ただ、毎回追加認証は大変なのと、IDパスワード入力も年1程度なので、平常時とは違う状況でのみ追加認証とする。
④ C1は委託先契約で必要な条項を追加し、納品時に脆弱性検査を実施する。
⑤ 最近は攻撃も多いので構成管理を導入した脆弱性対応の仕組みを構築することにした。
⑥ 動画が漏れて他の人に見られるのは困るが、内部者にも見られないように暗号化するべきである。
問題文(設問3(1)~(5))
解説(設問3(1)~(5))
問題が多くて見にくくなるので分割しました。
(1)はアクセス元制限をどのように行うか。アクセス元の信用はクライアント証明書を使うのが一般的のようです。
答え クライアント証明書を用いた端末認証を行う。
(2)はコンテンツ改変につながる脆弱性
コンテンツ改変はZクラウドの管理者だけができる([前提]③)のでした。管理者アカウントを取られる[A2]のはもちろん、内部の管理者なら故意[D1]にせよ過失[D2]にせよ改変可能性があります。また、C1はWebサーバではないので無関係ですが、C2のようにOSごと取られたらだめですね。
答え A2, C2, D1, D2
(3)はただの解説。ID固定が普通のブルートフォースです。
答え 利用者IDを変更しながら、よく用いられるパスワードでログインを試行する。
(4)はリバースブルートフォースをログイン制限で防げない理由について。普通のログイン回数制限はIDで見ます。
答え 一つの利用者IDでのログイン試行が1回ないしは少ない回数でしか行われないから
(5)は追加認証でリスト型攻撃を防げない場合はいつか。リストにその情報が載っていたらだめです。
答え 他のWebサイトから漏洩した情報に電話番号や電子メールアドレスが含まれていた場合
問題文(設問3(6)~(10))
解説(設問3(6)~(10))
(6)はZクラウドと本人のみが知ってる情報での認証とZカメラの所有者が移るときの兼ね合いについて。[Zクラウド詳細②]で利用者番号が振られているのでこれを使おうという魂胆です。所有権が移った時にデータがどうなるのかは詳細がないので正直少し納得がいかないところ。
答え 利用者番号の入力を求める。
(7)は平常時と異なるとは何か。直前に普通は年1しか認証しないという記載があるので、これに反する場合を書いてほしいとのことです。IPAの公式回答通り書けた人はいるのでしょうか
答え 全利用者の単位時間当たりの認証失敗数が閾値を超えた場合
(8)はアプリケーションプログラムの脆弱性について、開発委託先に何を求めるか。脆弱性検査をやるような契約になるみたいなので、ここに合格すれば大丈夫でしょう。
答え 脆弱性検査合格を受入条件とする。
(9)は構成管理がないと何が問題なのか。今は脆弱性対応ができないと言われています。構成管理は文字通りシステムの状態把握で、これがあると脆弱性対応がしやすくなるということは、構成管理のおかげで判断が早まると言えます。
答え 脆弱性がZ社のシステムに影響するかを短時間で判断できない。
(10)は内部者含めて他の人に見られないように共通鍵暗号方式を使いが、どこで共通鍵を生成するか、暗号化するか、復号するかと、共通鍵をどのように共有するかについて。復号後の動画がZクラウドにあったら意味がないので、必然的にZアプリとZカメラの2択。動画はZカメラ→Zクラウドの流れを通るので、暗号化はZカメラで、他はZアプリです。
そして都合のいいことにこのZアプリとZカメラはBluetoothでつながっています。
答え
共通鍵生成 : Zアプリ
動画暗号化 : Zカメラ
動画複合 : Zアプリ
共有方法 : Bluetooth経由で受け渡す。
終わりに
過去一長い。50点くらいは取れた気がする。
主な参考サイト
IoTシステムのセキュリティ対策【情報処理安全確保支援士試験 平成29年度 秋期 午後2 問1 設問2】
IoTシステムのセキュリティ対策【情報処理安全確保支援士試験 平成29年度 秋期 午後2 問1 設問3】
この記事が気に入ったらサポートをしてみませんか?