見出し画像

情報処理安全確保支援士2017年(平成29年)春午後1問1(4,134文字)

イナ

問題冊子、解答例、採点講評はこれ
またIPAがリダイレクト設定せずにURL変えたりしなければつながるはずです

以降解説では設問になっている部分を「問題文」それ以外の地の文を「本文」と表記します。いつの間にか忘れて違う書き方してたらすまん。
記事の構成は
本文→(単語解説)→本文要約→問題文→問題文解説→IPA解答でいきます。
スクロール減らしたいという気持ちはあるのでさっき見たみたいな同じ表や図なんかも何度でも貼っていきます。


本文(設問1)

P2~P4
P4~P5

単語解説(設問1)

知らなかった単語は〇数字で、知ってた単語は□数字で記載。
応用情報の午後はいわゆる文系セット(セキュリティ, 経営戦略, プロマネ, サビマネ, システム監査)で通したので、そんなレベルの人の知識です。

① LDAPサーバ : 情報を一元管理するためのサーバ。要はユーザーIDとパスワードで本人確認ができるらしい。読みはエルダップとのこと。
② CRMサーバ : 顧客管理システム。本文通り重要な顧客情報が入ってる。
1⃣ SSH : Secure Shell リモートでPCを動かす奴
2⃣ ARP : IPアドレスからMACアドレスを求める奴

本文要約(設問1)

[前提]
① 従業員は個人のPCとIDがあり、ログイン時にLDAPサーバで認証され、ブラウザでCRMサーバに繋げて顧客情報を見たりしている。
② サーバとFW(Firewall)はきちんと隔離されていて、サーバ運用は事前申請して管理用PCからログインして行う。この時もLDAPサーバ認証が入る。事前申請していないとN部長にログイン時刻とIPアドレス、IDが通知される
[セキュリティインシデントの発生]
① 事前申請無しのYがサーバにログインしたと通知があったがYは入っていないという。ログを見ると不審ログインがあったのでZ社に調査を依頼した。
[サーバへの侵入手口の調査]
① 従業員AのPCが遠隔操作型マルウェアに感染していた。
② ARPポイズニングツールが消されていた。
③ 不審ログイン前にYのIDでLDAPサーバ認証のログがあった。
④ サーバのログにあったIPアドレスはすべて管理用PCのものだった。
よって図3のような手順と推測された

ARPポイズニング時点では以下の通りになっていると推測した。

管理用PCのIPアドレス特定には総当たりで推測する方法もあるが、FWのフィルタリングルール[d]でログが残るはずなのに、ログになかったので通信盗聴が原因であると思われる。

問題文(設問1)

解説(設問1)

(1)は表3と表4を、図1記載のMACアドレス(ア)~(キ)で埋めるもの。

まず、ARPテーブルとはある機器が把握しているIPアドレスとMACアドレスの対応表のことです。そして、IPアドレスは情報の最終目的地、MACアドレスは情報の経由地を表します。

例えば表2の上段だとFWが最終目的地であるIPアドレス192.168.0.1に何かを届けるときには、経由地であるMACアドレスxx:~(略)~:02を通って届けるということです。

図3の通り、犯人はAのPCでIPアドレスやIDパスワードなどの特定をしたいと考えています。そのためには通信が、犯人が遠隔操作できるAのPCを通る必要があります。
なので、表2にあるように、管理用PC(オ)のIPアドレスに対応するMACアドレスも、PC(キ)のIPアドレスに対応するMACアドレスも(カ)のMACアドレスとなっています。つまり(カ)のPCがAのPCということになります。

そして、表3のFWのPCセグメント側(エ)のIPアドレスに対応するMACアドレスも同じく()のAのPCを指すことで、盗聴ができるようになります。まとめるとFW→管理用PC(オ)の通信、FW→従業員PC(キ)の通信、管理用PC(オ)→FWの通信の3つの通信はすべてAのPC(カ)を通っています。ユーザと利用サービスの間に入り込んで盗聴する中間者(Man in the Middle)攻撃ですね。

続いて表4について、逆にAのPCが通信する場合を考えます。上段の192.168.0.1すなわち管理用PC(オ)相手ですが、これは別に何かを変える必要がありません。素直に()が答えになります。同様に下段の192.168.0.254すなわちFW(エ)相手も()が答えです。
答え a : , b : , c :

(2)は管理用PCのIPアドレス特定には総当たりで推測する方法もあるが、FWのフィルタリングルール[d]でログが残るはずという話でした。図3の5~7を見るに、AのPCの遠隔操作だけではLDAP, CRMサーバにアクセスできなかったので管理用PCのIPアドレスが欲しいということがわかります。この管理用アドレスを総当たりで見つける場合、フィルタリングルールと照らし合わせてどうなるかを考えます。ここでいう総当たりは管理用PCのIPアドレスである192.168.0.1を見つけるために、PC側のIPアドレスを変えていって、サーバにアクセスしに行くことを指します。つまり、PCセグメントからサーバセグメントにアクセスすることを指すので、フィルタリングルール5に引っかかります。
答え d : 5

AのPCからIPアドレスを変えてCRMサーバにアクセスし続ければフィルタリングルール3でログに残る気がしますがなぜだめなのでしょう?
このフィルタリングルールは「許可」されたときのみログの記録がなされるという意味かしら?

(3)は下線①とありますが、要は何の通信の盗聴かを聞いているだけです。
(1)に記載しましたが、FW→管理用PC(オ)の通信、FW→従業員PC(キ)の通信、管理用PC(オ)→FWの通信の3つの通信はすべてAのPC(カ)を通っています。
ただ、現状では管理用PCからFWへの通信がAのPCを通るとはいえ、どれが管理用PCなのかは把握できていません。
つまり、他のPCの通信もARPポイズニングによってAのPC(カ)を通っているために、例えばPC→インターネットの通信などでは管理用PCのIPアドレスがどれかなどは把握できません。
ですので、管理用PCしか行わない独特の通信や、管理用PCであることがわかる情報を捕まえて把握することが目標になります。
フィルタリングルール4を見ると管理用PC()のみがサーバセグメントとSSH通信()をすること、CRMサーバとの通信はHTTPSでIDパスワードなどが暗号化されて盗聴できないことを思えば、LDAPサーバ()との通信を盗聴するとよいと思われます。

答え 送信元 : , 宛先 : , サービス :

本文(設問2,3)

P5~P7

本文要約(設問2,3)
[情報漏洩調査]
① CRMサーバから直接情報は抜かれていなかった
② A→CRMのアクセスはなかったから、他PC盗聴とは別に、AのPC遠隔操作による情報窃取もなかった。
③ 他PC→CRMについては、サーバ証明書検証に失敗したときには接続しない設定になっているから、情報窃取はなかった。

[対策]
① 暫定対策の後、サーバ管理セグメントを新設分離、フィルタリングルールを変更して、AのPCで管理用PCのIPアドレス特定を不可にした。
② もし別の方法で管理用PCのIPアドレスがばれて詐称されて、サーバ管理者のIDパスワードでログインされる場合でもTCPコネクションの確立が防げるようになった。
③ LDAPサーバ通信もCRMサーバ通信同様HTTPSを利用することにした。

問題文(設問2)

解説(設問2)

サーバ証明書検証に失敗したときには接続しない設定で防げる攻撃は中間者攻撃です。解説(設問1)でも書きましたがユーザと利用サービスの間に入り込んで盗聴する攻撃のことです。HTTPSは通信の暗号化を行いますが、受信者はサーバ証明書の検証でサーバの正当性を検証するという通信で、HTTPS通信を行っている機器はCRMサーバなのでこれが答えです。
答え 攻撃名 : 中間者攻撃 対象の機器 : CRMサーバ

問題文(設問3)

解説(設問3)

(1)はネットワーク構成とFWのフィルタリングルールを変更したことで、どうして管理用PCのIPアドレスがわからなくなるのかという問題ですが、管理用PCとサーバ管理セグメントからの通信は一切PCセグメントを通らないためです。(ルール9のサーバ→PCは拒否)
通信が通らないのであれば盗聴しようがありません。
答え PCセグメント内に管理用PCとサーバ間の通信が流れなくなるから

(2)は管理用PCのIPアドレスがばれて詐称されて、サーバ管理者のIDパスワードでログインされる場合でもTCPコネクションの確立が防げるという話で、通信を考えるとまずPCセグメントのPC(C)がサーバセグメント(A)にSYNパケットを送付します。その返答であるSYN-ACKパケットはサーバセグメント(A)からサーバ管理セグメント(B)に送付されるので、TCPコネクションが確立しません。そもそも拒否されるって言っているのにA→Bで帰っていったら意味ないですね。
答え SYNパケット : (C)→(A), SYN-ACKパケット : (A)→(B)

最後に

一つ一つ説明できるように調べては書くというのが勉強になっている感じはあるので頻度はともかく続けていきます。間違ってたら教えてくださいもう一度調べます。

主な参考サイト

情報処理安全確保支援士 平成29年度春 午後1 問1 - Qiita
ARPポイズニングによる盗聴【平成29年度 春期 情報処理安全確保支援士試験 午後1 問1 設問1】
中間者攻撃への対策【平成29年度 春期 情報処理安全確保支援士試験 午後1 問1 設問2】
セグメント分離の効果【平成29年度 春期 情報処理安全確保支援士試験 午後1 問1 設問3】 | やさしいネットワークとセキュリティ (aolaniengineer.com)
平成29年度(春期)午後Ⅰ問1 - 情報処理技術者試験ノウハウサイト (jouhoushori.com)

この記事が気に入ったらサポートをしてみませんか?