【令和2年度 秋期 午後Ⅱ】情報処理安全確保支援士 SC 過去問 解説メモ

試験間近。過去問追い込み中。整理用にメモ。

IPA午後Ⅱ回答

午後Ⅱ 問1

設問1
a:LDAP-P, LDAP-Q, LDAP-R、b:LDAP

FW-Pのルールが対象。
FW-1では各サイト間の通信が禁止されていることから、各サイト間の通信はFW-2を通る。
項番2はWeb-Q→LDAP-P、Web-R→LDAP-PのLDAP通信を許可。Web-Q、Web-Rが紐付けまたは認証を行う場合の処理で必要な通信。

項番3はWeb-Pが紐付けまたは認証を行う場合の処理。
サイトPが親アカウントの場合:Web-P→LDAP-P
サイトPが子アカウントの場合:Web-P→LDAP-Q(紐付け時のみ)、Web-P→LDAP-R


 
設問2
本人の同意を得ないで,承継前における当該個人情報の利用目的の達成に必要な範囲を超えて,当該個人情報を取り扱ってはならない。

個人情報の利用には事前に利用目的を明示したうえで個別同意によるオプトインが必要。勝手に利用目的を変更できない。


 
設問3
(1)c:ウ idPair.childID、d:ア idPair.checkChild()、f:ケ NamingException、g:イ idPair.ChildChecked

図3はクラス定義。図4が実行部。

101行目で利用者IDはAccountLink idPairのchildIDに入る。
105行目でidPair.checkChild()が実行される。
処理を3回繰り返すというのは、「retryCount<4」から来ているとわかる。

26行目で45行目に定義される認証処理を呼び出す。
何らかの理由でNamingExceptionが返ると、一定時間待ってから105行目の処理が再実行される。

3回繰り返した後113行目以降の認証結果 idPair.ChildChecked に応じた処理に回る。
しかし、どうやら idPair.ChildChecked が意図せずtrueになり、117行目の紐付け処理が実行されるらしい。

原因は19行目で ChildChecked をサイト文字列の判定で初期化しているから。サイト識別文字列が合致していればChildChecked=true に初期化される。

NamingExceptionの場合は、ChildChecked が更新されないため、
再実行処理をすべて NamingException が返れば ChildChecked=trueのまま113行目以降の紐付け処理に進めることになる。


(2)e:ウ 26、h:キ 117


(3)NamingException を投げる前に,childChecked を false にする

childChecked=trueのまま処理が終了することを防ぐ。


 
設問4
(1)j:パスワードを,本人以外のメールアドレスに送ることができる

会員番号と誕生日を総当たして一致すれば、任意のメールアドレス宛に現在のパスワードを送信できる。


(2)k:パスワードリセットの URL を,登録済みメールアドレスだけに送る

解決したい問題は「パスワードそのものをメールで送信すること」と「任意のメールアドレスに送れること」。
「パスワード失念時にログインできなくなる」とあるから、登録済みのメールアドレスのみにパスワードリセット用のURLを送信するとわかる。


(3)①・サイト P でポイントが不正に利用される。
   ②・サイト Q で A 百貨店の商品が不正に購入される。

アカウント共通利用した場合のサイトP,Qで発生しうる金銭的な被害を答えておく。


 
設問5
(1)い:2、う:4

「サイトSのIDでログイン」の処理に進むとブラウザからSPにアクセスする。
次にSPからIdPへのアクセス要求がされ、ブラウザはそれをIdPへ転送する。処理1に該当。

(い)はIdPでの認証画面のため、処理2「認証のための通信」が該当。
(う)は認証完了後の画面のため、処理4に該当。

シングルサインオンでよく聞くSAML認証とは? 仕組みの概要、導入のメリットを解説!

【図解】分かりやすいSAML認証の仕組みとシーケンス,メリット ~kerberosとの違い,Assertionや証明書,meta-data,relaystateについて~ | SEの道標


(2)あ:SP、い:IdP、う:SP

「転送された認証要求」〜「IdPからSPへの認証応答」まではIdPのページ。


(3)え:SP、か:IdP、き:IdP、く:SP

え:SP側の認証画面
か:IdP側の認証画面
き:IdP側のアカウント作成画面
く:IdP側でのアカウント作成 or ログイン後に遷移することから、SP側の画面


 

午後Ⅱ 問2

設問1
(1)イ シェアードシークレット

シェアードシークレットを共通鍵として、サーバ&クライアントで保持。
タイムスタンプとシェアードシークレットからOTPを計算して生成する。


(2)第三者の OTP アプリで不正に OTP を生成される。

流出したID/PWで外部からOTP生成されることを防ぐ。


(3)a:ウ、b:エ、c:イ、d:ア、e:カ、f:オ

30分でOpenID Connect完全に理解したと言えるようになる勉強会 - Speaker Deck


 
設問2
社内情報を表示した画面をカメラで撮影するという方法

VDとノートPC間の情報共有をいくら禁止しても、ノートPC側のディスプレイをスクリーンショットやカメラで撮影すればVD側の情報を持ち出せる。


 
設問3
(1)社内情報を表示した画面のスクリーンショットを取るという方法

ノートPCからVD環境の情報にアクセスできなくても、ノートPCのディスプレイ上に表示された情報をスクリーンショットして外部転送すればよい。


(2)ア、ウ、エ DaaS-V、IDaaS-Y、MDM-W

ノートPCの接続先を最小限にする。
必要なのは認証用のIDaaS-Y。デバイス管理やマルウェア定義ファイル更新用のMDM-W。VD基盤のDaaS-Vのみ。
その他はVD基盤からアクセスする。


 
設問4
セキュリティ対策についての第三者による監査報告書で確認するという方法

いくら脆弱性診断であっても許可なく社外サービスを診断したら攻撃になる。
三者によるセキュリティ監査の報告書を確認する。


 
設問5 
DaaS-V でのクライアント証明書によるデバイス認証

要件3を満たすために、クライアント認証を導入している。
仮にID/PW/OTPを詐取されたとしても、外部端末からの不正ログインを防げる。



設問6
(1)g:パスワードの推測によってログイン

ディスク内の情報を暗号化していても、OS認証を突破されたら復号されてしまう。


(2)容易に推測可能な PIN コードを設定する。

利用者が設定すると起こりえる問題を答える。


(3)クライアント証明書によるデバイス認証を行う仕組み

好きな端末からVPN接続できると問題のため、デバイス認証が必要。

【令和2年度 秋期 午後Ⅰ】情報処理安全確保支援士 SC 過去問 解説メモ

試験間近。過去問追い込み中。整理用にメモ。

IPA午後Ⅰ回答

午後Ⅰ 問1

設問1
(1)手段:・他者のバーコードを会員番号から推測して表示する。
      ・他者の会員番号を窃取してバーコードを生成し,決済する。
   問題:・バーコードの内容が会員番号であること
      ・バーコードが永続的に利用できること

表1「16桁の会員番号をバーコードとして表示」や表4「バーコードが示す会員番号に対して決済」から、決済では会員番号から生成されるバーコードを使用するらしい。。
会員番号から推測して生成できてしまうし、一意に決まる不変なバーコードである点もよくない。


(2)a:HMAC値αと HMAC値βの一致を検証する。

HMACαとHMACβの生成もとの値(会員番号、乱数、時刻)は同じである。
HMACαとHMACβの計算で同じ解が得られたことを検証する。

 
設問2
(1)変更する設定項目:い DNSプロキシ
   変更後の設定内容:攻撃者の DNS サーバの IP アドレス

DNSプロキシは「無線LANルータが参照するDNSサーバのIPアドレス」を設定できる。
例えばあるドメインについてDNSのAレコードを書き換えれば、ユーザを攻撃サーバへ誘導できる。  


(2)b:オ subjectAltName、c:FQDN、d:イ commonName

RFCではsubjectAltNameが優先され、commonNameは非推奨。

【図解】TLSのSNIの仕組み ~SANsやCN,ワイルドカードとの違い~ | SEの道標

 
設問3
(1)メールアドレスが会員登録されているかどうかで表示が異なるという挙動

表2のアラート通知では「(ii)存在しないログインIDでのログイン試行」を検知できるが、表3の会員登録処理で存在するメールアドレスをスクリーニングしてからログイン試行すれば回避できる。


(2)修正すべき処理:2-b
   修正後の処理:2-aと同じメッセージを表示する。

メールアドレスが存在する/しないを、外部から判別できるインターフェースが問題。
見分けがつかないように表示内容を合わせる必要がある。


 

午後Ⅰ 問2

設問1
(1)a:LDAP

LDAP:Lightweight Directory Access Protocol
ディレクトリサービスプロトコルといえばLDAP

LDAPとは
https://wa3.i-3-i.info/word12693.html


(2)b:OCSP

OCSP:Online Certificate Status Protocol
証明書の有効性問い合わせといえばOCSP

CRL(証明書失効リスト)とは、OCSPとは

 
設問2
(1)メールサーバ上では,メールが暗号化されていないから

「送信者から受信者まで暗号化された状態」が満たすべき要件。
通信の暗号化SMTP over TLSでは通信経路間が暗号化されるのみ。MTAサーバ上で復元されてしまう。
さらに、通信経路でSMTP over TLSに対応していないMTAがあると、平文で扱われてしまう。

(2)c:メールサーバ

メールのなりすまし判定といえば、標準技術としてSPF/DKIM/DMARC認証がある。
「一方、送信者メールアドレスとして委託先のメールアドレスを使うようななりすましは検出できない」とあるので、SPF認証のことを書いていることがわかる。

SPF認証ではEnvelope From address(メールサーバ)のドメインを検証し真正性を確認する。


(3)復号に必要な秘密鍵を意図せず削除した場合

クライアント側で管理する秘密鍵を紛失したら、当然復号ができなくなる

S/MIMEとは?メールへの電子署名と暗号化の仕組み|GMOグローバルサイン【公式】

 
設問3
(1)d:ディジタル署名
    e:検証
    f:MLの登録メンバ
    g:ML

S/MIME:メールの送受信者間で暗号化+ディジタル署名
受信側の証明書(公開鍵)で暗号化、送信側の秘密鍵ディジタル署名をしてメールを送信する。

S/MIMEは1to1のため、MLの場合は受信側のそれぞれのメールアドレスについて暗号化をする必要がある。

ディジタル証明書とディジタル署名の違いがよくわかる
デジタル証明書の仕組み

S/MIMEの詳細理解用
【図解】OpenPGPとS/MIMEの仕組みと違い ~メール暗号化と署名,ssl/tlsとの違い~ | SEの道標


 

午後Ⅰ 問3

設問1
(1)N-IPS で遮断されていた PF 診断の通信が通過するから

表1からN-IPSの脅威通信判定が有効のままだと脅威レベルの高い通信が遮断され、Webサーバの脆弱性チェック用の通信まで遮断されてしまう。


(2)ホワイトリストに診断 PC の IP アドレスを登録する。

N-IPSのホワイトリスト機能を使えば、外部向けの脅威判定を動作させたまま、送信元が脆弱性チェックのために用意された通信だけ通過させることができる。


(3)a:(a)

インターネットからの攻撃がすべて通ってWebサーバに着弾した条件で脆弱性をチェックしたい。
FW1とN-IPSが邪魔になる。N-IPSはホワイトリストにより回避できるが、FW1で通信が拒否される可能性がある。

本番Webサーバに直接接続できる(a)からも脆弱性診断をしておく。


 
設問2
(1)b:診断用の利用者ID

診断要件に「診断前の状態に戻すこと」とある。
Web診断では「診断用の利用者IDを作成し、診断用ポイントを付与する」とあるため、終了時には削除する必要がある。


(2)変更する項目:日時
   変更する内容:診断時間を0時~8時の間にする。

本番環境への影響を考えると、最もトラフィックの少ない時間帯に診断するべき。


(3)機器:本番DBサーバ
   変更後の設定:ホスト型IPSのホワイトリスト設定に,診断PCのIPアドレスを登録し,侵入検知設定を無効にする。

ホワイトリストに登録されていないIPアドレスからの通信は警告灯が点灯してしまう。
また、侵入検知機能はホワイトリストとは独立して動作するため、こちらも無効にして警告灯の点灯を回避する必要がある。


(4)c:本番DBサーバ、d:DB管理PC、c:許可

図2に「本番WebサーバとDB管理PCのIPアドレスだけが登録」とある。
Web管理PCは本番DBサーバのホスト型IPSのホワイトリストに登録がない。

(e)からの通信が遮断されるということは、FW2でDB管理PCからの通信のみ許可する設定としたことになる。
なお、本番Webサーバから本番DBへの通信はFW1を通る。

【令和3年度 春期 午後Ⅱ】情報処理安全確保支援士 SC 過去問 解説メモ

試験間近。過去問追い込み中。整理用にメモ。

IPA午後Ⅱ回答

午後Ⅱ 問1

設問1
(1)外部から入手した利用者IDとパスワードの組みのリストを使ってログインを試行する攻撃


(2)他のサービスで利用したパスワードとは別のものを設定すること


(3)・IP アドレスから分かる地理的位置について,過去のログインのものとの違いを確認する。
   ・Web ブラウザの Cookie を利用し,過去にログインした端末かを判定する。

リスクベース認証の判定に利用されるリスク要素が回答になる。

「リスクベース認証」とは?~仕組みやメリット・デメリットを紹介~


(4)a:タイムゾーン

タイムゾーンで使われる「UTC(協定世界時)」とは - パソコン用語解説


(5)b:9

 
設問2
マルウェアに感染した USB メモリを介して管理用 PC に侵入し,さらに店舗管理サーバへ侵入する。

図2の注記に「店舗管理システムと社内LANとの間でデータの受渡しが必要な場合は、USBメモリを用いる」とある。
ネットワークが分離されている場合でも、USB経由でマルウェアが感染することを考える。

 
設問3
(1)c:オ 情報セキュリティ委員会

問題文序盤に「情報セキュリティ委員会は、経営陣が委員となり、情報セキュリティについての基本方針及び重要な課題を取り扱う」と書かれている。


(2)d:イ 検知、e:カ 分析、f:ウ 根絶

 
設問3
(1)5

図2からログに出ている正規のグローバルIPは以下の通り。
・x1.x2.z1.0/28 → x1.x2.z1.0 ~ x1.x2.z1.15
・x2.y2.z2.128/30 → x2.y2.z2.128 ~ x2.y2.z2.131

SSH接続であり、かつ上記のルールから外れたIPアドレスが怪しい。


(2)脆弱性 M を悪用しても一般利用者権限での操作であるが,“/etc/shadow”ファイルの閲覧には管理者権限が必要であるから

図3に「OSの一般利用者権限には、必要最小限の権限だけが与えられている」とあり、“/etc/shadow”ファイルの参照には管理者権限が必要である。
管理者権限で実行できる脆弱性Lと、任意のコマンド実行をできる脆弱性Mを組み合わせることで攻撃が成立した。


(3)攻撃の接続元IPアドレスを“/etc/hosts.allow”ファイルに追加する。

図3に「R1サーバの“/etc/hosts.allow”ファイルの設定において、SSHの接続元をN社とV社に限定している」とある。
攻撃者がSSHで接続するために、攻撃元のIPアドレスまたはをホスト名を“/etc/hosts.allow”ファイルに追記したと考える。

「/etc/hosts.allow」ファイル、「/etc/hosts.deny」ファイル - Linux技術者認定 LinuC | LPI-Japan


(4)24

F1ファイル:320kBで8IP
F2ファイル:960kBで〇IP
1IPあたり40kBだから、〇=24


(5)FW2において,インターネットからのインバウンド通信はN社とV社からの通信だけを許可する。

アクセスコントロールに無駄があれば見直す。
図2に「インターネットからのインバウンド通信はFW2において、各サーバへのSSHおよびHTTPを許可し、その他を遮断」とあるが、SSHとHTTPのプロトコルについては接続元に制限がない。OS側の“/etc/hosts.allow”ファイルのみで接続元を制限していることが問題。

 
設問5
・複数の脆弱性が同時に悪用される可能性の観点
・対応を見送った脆弱性の影響の観点

今回の事象では、個別の脆弱性の評価では問題にならなかったが、複数の脆弱性を組み合わせた場合を想定せず脆弱性を過小評価したことが攻撃に繋がった。

 

午後Ⅱ 問2

設問1
(1)オ リンクローカルアドレス

リンクローカルアドレス(169.254.xxx.xxx)とは - 意味をわかりやすく - IT用語辞典 e-Words


(2)多くの個人所有機器を C 社内 LAN に接続することによって,IP アドレスが枯渇するという問題が引き起こされた。

リンクローカルアドレスが割り当てられたことと、「多くの従業員は、個人所有機器をAPに接続して使用している」とあることから、IPアドレスが枯渇したと考える。


(3)・稼働させたまま行う方法 :L2SW にミラーポートを設定し,そのポートにLANモニタを接続してDHCP OFFERの数を確認する。
   ・停止させて行う方法 :DHCP による IP アドレスの配布がないことを確認する。

DHCPのメッセージ:DHCP Discover → DHCP Offer → DHCP Request → DHCP Ack

ブロードキャストで送信したDHCP Discoverに対して、DHCP Offerの応答が複数確認されたら他のDHCPサーバが稼働していることになる。

TCP/IP - DHCPとは

 
設問2
企画部の部員がアクセスできるチャットエリアで共有されている情報

「最大でどの程度の被害となり得るかを判断するために〜」とある。被害の最大値は、不正アクセスした場合に、取得できる情報の範囲となる。

 
設問3
(1)a:C-PC、b:AP

IEEE802.1Xの認証のための3つの構成要素
・Supplicant:認証要求するクライアント
・Authenticator:認証の仲介機器、無線LANアクセスポイント
・Authentication Server:認証サーバ

IEEE802.1X認証とは、EAPとは


(2)c:エ "6."より後に

無線LAN接続後に、DHCPIPアドレスを得る。

 
設問4
(1)・インターネットを使って情報収集する業務
   ・事業部や企画部の顧客への提案や企画の立案

「事業部および企画部では、顧客への提案や企画の立案時にインターネット上にある多くの情報を収集〜」とある。インターネットアクセスを特定のサイトのみに絞ることはできなそう。


(2)2 URLフィルタリング

2に「アクセス可能なURLを制限する」とある。


(3)1 利用者IDによるフィルタリング

1に「許可された利用者IDの場合だけ通信を許可」とある。


(4)ウ 5~6

表2のサービスQの認証で「ディジタル証明書によるTLSクライアント認証」とある。外部機器からの接続の場合、サービスQへの認証要求時にクライアント認証が成功せずシーケンスが中断される。

 
設問5
(1)・ISAE3402/SSAE16
   ・ISMS 認証

ISMSクラウドセキュリティ認証も正解と思う。

概要 | ISO/IEC 27017(クラウドサービスセキュリティ) | ISO認証 | 日本品質保証機構(JQA)ISMS適合性評価制度 - 情報マネジメントシステム認定センター(ISMS-AC)

(2)d:4 自動暗号化

万が一不正アクセスされたケースを想定した情報漏洩の対策→暗号化

 
設問6
(1)秘密鍵を書き出しできないように設定する。

クライアント認証に使っているディジタル証明書またはそれを生成する秘密鍵が流出してしまうと、別の端末でもアクセスできてしまう。

【図解】クライアント証明書(https,eap-tls)の仕組み ~シーケンス,クライアント認証,メリット~ | SEの道標


(2)管理者が,Pソフトを,一般利用者権限では変更できないように設定する。

「Pソフトを、一般利用者権限では動作の停止やアンインストールができないよう設定できる」と書いてある。端末制御エージェントであるPソフトを一般利用者が停止/削除できたら要件を満たせないので設定が必要。

【令和3年度 春期 午後Ⅰ】情報処理安全確保支援士 SC 過去問 解説メモ

試験間近。過去問追い込み中。整理用にメモ。

IPA午後Ⅰ回答

午後Ⅰ 問1

設問1
(1)多要素認証の実装をSサービス側に用意しなくてよい。

「前回の脆弱性診断では、Sサービスの認証モジュールの認証方式を、多要素認証にする方がよいとアドバイスを受けたが、その対処が課題だった」と書かれている。利点はID連携によって実装レスで多要素認証の恩恵を得られること。


(2)Tサービスの障害時にSサービスを利用できない。

可用性≒サービス継続の観点で、T社側の障害によるサービス停止はS社側でコントロールできない範囲であり、欠点となってしまう。


(3)a:ア Sサービス、b:イ Tサービス、c:ウ 利用者

認可を受ける側と認可を与える側の関係性を考える。


(4)α:え

 
設問2
(1)d:ウ 認可コード、e:ア アクセストークンの要求


(2)アップロード:攻撃者
   ダウンロード:攻撃者


(3)β:い 認可の要求、γ:か 認可コード

認可を要求したユーザと、認可の承認(リダイレクト)を行ったユーザが同一であることを確認する必要がある。

OAuth2.0 State の役割 - Qiita

 
設問3
(1)エ 利用者のアカウント名、電子メールアドレスなど登録情報を取得する権限

図2に「S会員登録希望者がログイン中のTサービスから取得したアカウント名T-IDをSサービス内に登録する」とある。


(2)S認証モジュールに利用者IDとパスワードを登録していないS会員

Tサービスのアカウントをもち、ID連携でSサービスに登録したユーザは認証ができずログインができなくなる。

 
設問4
Tサービスで認証されたS会員のT-IDが,Sサービス内に登録されていること
を確認する。

Tサービスで認証に成功したアカウントを、Sサービスのアカウントとどのように紐づけているか。
図2に「S会員登録希望者がログイン中のTサービスから取得したアカウント名T-IDをSサービス内に登録する」とある。

ID連携とは
https://wa3.i-3-i.info/word16715.html


 

午後Ⅰ 問2

設問1
(1)A 社公開 Web サーバの名前解決ができなくなる。

A社の権威DNSが落ちたら、A社Webサイトについて外部からの名前解決ができなくなる。


(2)DNSリフレクション攻撃

DNSリフレクション攻撃とは?仕組みや注意点、対策方法について徹底解説|サイバーセキュリティ.com


(3)a:ア DNS-F、b:イ DNS-K

外部からのDNSリクエストには、権威DNSサーバDNS-KでA社サーバに関するリクエストのみ名前解決する。
内部からのDNSリクエストには、フルサービスリゾルDNS-Fですべてのリクエストについて名前解決する。


(4)c:A

IPアドレスが登録されるのはAレコード。


(5)d:ランダム化

キャッシュポイズニング攻撃への対策は、ポート番号のランダム化。

インターネット10分講座:DNSキャッシュポイズニング - JPNIC


(6)e:DNSSEC


(7)f:オ スタブリゾルバ、g:カ フルサービスリゾル

TCP/IP - DNSとは その3

 
設問2
(1)権威DNSサーバがサービス停止になるリスク

障害やDoS攻撃などでプライマリの権威DNSがサービス停止となっても、セカンダリの権威DNSで名前解決できるため、可用性が向上する。


(2)h:カ dns-s.x-sha.cp.jp、i:ク mail.a-sha.co.jp

NS:Name Server
MX:Mail Exchanger


(3)j:拒否、k:許可、l:拒否、m:拒否

セカンダリDNSはプライマリにゾーン情報を要求できる必要がある。


(4)n:オ プロキシサーバ、o:ア DNS-HF、p:カ メールサーバ

外部からのA社Webサイトの名前解決はX社のホスティングサービスで行われるため、FWを経由しない。

内部からの名前解決は、X社のフルサービスリゾルDNS-HFにFWを経由してリクエストする必要がある。表1に「フルサービスリゾルバとしては、プロキシサーバとメールサーバが使用」と書かれている。


 

午後Ⅰ 問3

設問1
a:PC の動作に問題がないこと

他のアプリケーションへの影響を検証している。問題なければパッチの配信へ進める。
 
 
設問2
L2SW1

FWの概要に「インターネットとの通信を許可しているのはDMZだけ」とある。
外向けの通信があるDMZのL2SW1をみればよい。

 
設問3
(1)b:エ FF:FF:FF:FF:FF:FF


(2)c:イ MACアドレス

nWOL TIPS: DHCPでIPアドレスが変わるPCをWOL起動する

Wake-On-LAN入門:リモートでコンピュータの電源をオンにする(2/3 ページ) - @IT


(3)起動パケットを他のセグメントに転送するように変更する。

ブロードキャストはセグメントを超えられないため、WoLの起動要求のブロードキャストを利用者LANへ転送できるようにする。DHCPリレーエージェント機能のような設定をする。

 
設問4
(1)(2)の活動に必要な情報:IPアドレス
   (4)の活動に必要な情報:MACアドレス

pingではIPアドレスやホスト名を指定。
WoLではMACアドレスを指定。

なぜIPアドレスだけでなくMACアドレスも必要なの? ~IPアドレスとMACアドレスの違い~ | IPアドレッシング | ネットワークのおべんきょしませんか?


(2)エージェントによって,夜間にarpコマンドの実行を検知したら,当該PCをネットワークから隔離する。

「夜間の不審なふるまいをしたときに、当該PCをネットワークから隔離する対策を助言した」とある。
不審なふるまい=ARPコマンドの実行、その検知はすべてのPC上で起動するエージェントで行う。

【令和3年度 秋期 午後Ⅱ】情報処理安全確保支援士 SC 過去問 解説メモ

試験間近。過去問追い込み中。整理用にメモ。

IPA午後Ⅱ回答

午後Ⅱ 問1

設問1
(1)a:&lt;、b:&gt;

「<」と「>」のエスケープ処理。

HTMLで特殊文字のエスケープ処理を行う方法【初心者向け】 | TechAcademyマガジン


(2)c:エ javascript:alert('XSS!')

<a href="リンク先URL">リンクテキスト</a>
リンクテキストの文字列がハイパーリンクされ、リンク先URLへ飛ぶ。

「”XSS!”という内容のダイアログボックスが表示された」とあるので、JavaScriptのalertメソッドが使われたと考える。

[JavaScript入門]alertの使い方!主要ブラウザ4つでの表示を確認 | コードライク

 
設問2
(1)http://又は https://で始まるURLだけを出力するようにする。

参考URLの欄に、URL以外を出力したくない。


(2)URLと同じオリジンであるスクリプトファイル

Content Secrity Policyはブラウザが持つセキュリティの仕組み。スクリプトの実行に制限をかけられる。
scipt-src ’self’; は同じドメインから読み込まれたスクリプトのみ許可。

【解説】クロスサイトスクリプティングのリスク軽減策!CSPについて | Proactive Defense

(3)スクリプト:HTMLファイル中に記載されたスクリプト
   呼び出し方法:スクリプトを別ファイルとして同一オリジンに保存して,HTMLファイルから呼び出す。

HTMLファイル内のインラインスクリプトはブロックされるため、スクリプトを別ファイルとして同一ドメインのWebサーバ側で保持し、HTMLファイルと一緒に渡せばよい。

 
設問3
(1)d:ウ 情報セキュリティ管理策、e:ア 個人情報保護

ISO27001:情報セキュリティマネジメントシステムISMS
ISO27017:ISMSクラウドセキュリティ
ISO27018:クラウドサービスの中でも個人情報保護に特化した実践の規範


(2)ファイルをU社が管理する鍵で暗号化してからアップロードする。

「F国内に保存されているデータを、F国政府に強制的に退出させる国内法が存在する」とある。
万が一そういった状況になって、クラウドサービス上に保存しているデータが取られたときの対策を考えると、自社側で生成した鍵で暗号化しておくしかなさそう。
ファイルが流出した時のための対策ときたら暗号化。

 
設問4
(1)f:同一利用者IDでのログイン失敗

同じ表の項番2で「一定時間当たりの同一IPアドレスからの異なる利用者IDによるログイン失敗の回数が〜」とあるから、書き方を合わせる。


(2)アクセス元IPアドレスを変えながら,不正アクセスを続けた場合

攻撃者目線で考えれば良い。IPアドレスを変えればログイン失敗回数のカウントがリセットされる。閾値に届かないようにIPアドレスをうまく変えれながらログイン試行すれば検知されない。

 
設問5
(1)g:メッセージをKサービスとの間で中継

Kサービスのオリジンを署名対象に含めれば、Webブラウザが正規のKサービスへアクセスしていることを検証できる。
攻撃者がWebブラウザとKサービスの間に入って通信を中継し、多要素認証のコードまで詐取して不正アクセスすることを防げる。


(2)h:生体認証、i:Kサービス、j:アカウントを削除、k:アカウントを無効に

退職者のアカウントは削除する。在職中で問題が起こったアカウントは無効にする。


(3)Gサービスへのアクセスを,ファイル受渡し用PCからのアクセスだけに限定できるから

「Dシステムで要求されていたセキュリティ要件」が何かを考える。
最初の方に「Dシステムにはファイル受渡し用PCからだけアクセスすることを求めている。しかし、U社ではいずれの順守状況も確認していなかった」と書かれている。
ファイル受渡しPCに内蔵された生体認証機能を認証器とすれば、同時にアクセス端末を制限する要件を満たせる。


 

午後Ⅱ 問2

設問1
(1)a:ア 経営者、b:イ システム管理者、c:イ システム管理者、d:ウ テレワーク勤務者


(2)CRYPTREC

CRYPTREC:Cryptography Research and Evaluation Committees
電子政府推奨暗号リスト、推奨候補暗号リスト、運用監視暗号リストの3種類。

CRYPTREC暗号リストとは?初心者向けにわかりやすく解説!|ITトレンド

 
設問2
(1)エ ローカルブレイクアウト

OpenFlow:SDNを実現する技術。
Software Defined Networking:ソフトウェアで定義されるネットワーク。英語そのまま。
ゼロトラストネットワーク:何も信用しない前提で対策を講じる考え方。英語そのまま。
ローカルブレイクアウトトラフィックの一部を各拠点から直接行う方法。集約している閉域ネットワークのトラフィックを抑える。

LBO(Local Break Out:ローカルブレイクアウト)とは?意味・定義 | ITトレンド用語 ||NTTコミュニケーションズ


(2)B サービスのアクセス制限機能によって通信が拒否されたから

意図せずブロックされた→アクセスコントロールを疑う。
「アクセス元IPアドレスがUTMのグローバルIPアドレスの場合だけアクセスが許可される」と書かれている。

 
設問3
(1)マルウェア内にFQDNで指定したC&CサーバのIPアドレスの変更

IPアドレスおよびそのFQDNDNSの正引き結果のIPアドレスの二つを合わせたIPアドレスのリストを拒否する」とある。
攻撃者側がFQDNでnslookupされるAレコードのIPアドレスを設定変更すれば、拒否リストをすり抜けできる。


(2)C&Cサーバとの通信時にDNSへの問合せを実行しない場合があるから

マルウェアにはC&CサーバのIPアドレスFQDNのリストが埋め込まれていた」とある。
IPアドレスで直接通信すればDNSへの問合せは実行されず、DNSシンクホール機能をすり抜けできてしまう。


(3)f:イベントログの消去を示すログ

「一部の業務PCではすべてのイベントログが消去された痕跡があった。~イベントログにイベントログの消去を示すログが記録」と書かれている。
イベントログにαログとβログがなくても、消去されている可能性がある。


(4)横展開機能と待機機能だけを実行していた場合

βログは遠隔操作機能が実行された場合に記録される。それ以外の状態遷移を繰り返していた場合、確認ツールでは検知されない。


(5)UTMのIDS機能によって攻撃が検知でき,システム管理者に連絡がされるから

DCと利用者LANの差分はUTM機能があること。DC内にサーバを移設すれば、攻撃を受けた際にUTMのIDS機能によって検知され、システム管理者に通知される。

 
設問4
(1)g:7月14日

感染調査の対象は化学コン。全ての調査をしていたらキリがないため、まずは感染の疑いが高い端末を見つける。
初めての感染が7/14なので、それ以降の日付で調査する。
本来は起因となった4/1の設定変更以降のログを全て見ることが理想だが、時間とのトレードオフの関係もあり優先度をつけて対応する方針。


(2)h:IP リストに登録された IP アドレス

C&CサーバのIPアドレス宛ての通信ログをみればよい。


(3)連携端末以外のIPアドレスを送信元とする通信記録

感染した端末がC&Cサーバと通信していれば、会員FWのログに残っているはず。
任意のIPアドレス - 連携端末のIPアドレス = 感染した会員の端末のIPアドレス


(4)連携端末を一時的にネットワークから切り離した対応

すでに対応を行ったので「リスクは相対的に低い。」と書かれている。ゼロではない。
すでにやったことで相対的にリスクが低くなる対応といえば、連携端末をネットワークから切り離したことしかない。

【令和3年度 秋期 午後Ⅰ】情報処理安全確保支援士 SC 過去問 解説メモ

試験間近。過去問追い込み中。整理用にメモ。

IPA午後Ⅰ回答

午後Ⅰ 問1

設問1
(1)a:接続先が保守用中継サーバではない

SSHクライアントはホスト認証によって、アクセス先のサーバがなりすましではなく正当なサーバかどうかを識別する必要がある。
そのために正当なサーバしか持たない秘密鍵によって生成されたフィンガプリントを検証する。

一致するフィンガプリントを生成できるのは、秘密鍵を持つサーバ(秘密鍵が流出していなければ初回認証を完了させたサーバのみ)。
SSH接続失敗時は、接続先IPアドレスを使用するサーバが異なるサーバに変わったか、同じサーバで鍵ペアの更新があってフィンガプリントが変わったことを考える。

SSH接続おけるホスト認証について
RURUK BLOG


(2)操作ログの改ざんや削除を防止するため

SSH認証ログ及び操作ログへのアクセスには特権利用者の権限が必要であり」と書いてある。最小権限の考え方、保守員の不正による操作ログの改ざんや削除を防ぐ。


(3)b:保守PC-A、c:インターネット

保守用中継サーバに接続して作業するのは、「通常は保守PC-Aから、必要に応じて保守PC-Bまたは保守PC-C」と書かれている。

保守PC-AはPC-LANにあり、PC-LANには他の業務PCも存在するため、保守PC-AのIPアドレスのみを許可する。
保守PC-B、保守PC-Cはインターネットから接続される。インターネットからの接続を常に許可することは危ないと思ったのか、「事前申請された時間帯だけシステム管理者が拒否→許可に変更する」としている。

 
設問2
(1)6

保守用中継サーバがあるのはDMZ内。DMZからインターネットに向けての通信を検知した。


(2)6月14日の7時0分から6月14日の9時30分まで

「保守を6月14日の7時から9時30分に行うという事前申請が出されていた」とあるので、その期間はFWの設定でインターネット→保守用中継サーバへの通信が許可になっていたことがわかる。
三者SSHサーバに接続可能だったのは、外部のインターネットからの通信が許可されていた期間。

 
設問3
(1)・保守員以外が不正に秘密鍵を利用できないようにするため
   ・秘密鍵が盗まれても悪用できないようにするため

保守用中継サーバへのSSH接続では、公開鍵認証によりクライアント認証をしている。
クライアントが持つ秘密鍵が万が一流出した場合でも、サーバへの不正アクセスを防ぐためにパスフレーズを設定することが推奨されている。

SSH公開鍵認証とは | ニフクラ

(2)d:パスワード認証

「パスワード認証から公開鍵認証に変更する」とされているため、パスワード認証は無効化しておく必要がある。


(3)e:秘密鍵

保守用中継サーバ→顧客管理サーバへのSSH接続も公開鍵認証に変更した。
保守用中継サーバをSSHクライアントとして、署名作成のための秘密鍵を保持することになると、不正アクセス時に顧客管理サーバへも被害が及んでしまうことを考える。

ssh agent forwardingを行うサーバー側の要点の備忘録 - Qiita


(4)f:送信元IPアドレスを固定にする

保守PCに固定のグローバルIPアドレスがあれば全てのインターネットからのアクセスを許可しなくてもよくなる。

 

午後Ⅰ 問2

設問1
a:Pパスワードの変更
b:PCにコピー

a:アクセス権限の変更もしくはパスワード変更のどちらか。アクセス権限は各ディレクトリ単位、パスワードはファイル単位に設定される。問題は全てのファイルに対して行う必要のある操作だから、パスワード変更が正解になる。
b:ファイルサーバからローカルPC上にダウンロードされたファイルは、アクセス権限やパスワードの設定を変更しても、元のパスワードのみで復号できてしまう。パスワード設定以外の別の方法でもファイル参照を権限管理をし、情報を保護する必要がありそう。

 
設問2
(1)ア、イ IRM管理者アカウント、グループ管理者アカウント

「ファイルの利用権限が自身の所属するグループのうち選択したグループに付与される」とあり、グループ単位でファイルアクセスへの権限が管理される。
アカウントの種類から、利用者アカウントをグループ追加したり削除できるのは、IRM管理者アカウントとグループ管理者アカウントとわかる。


(2)ii

理iiで「利用者アカウントがファイルの権限をもっている場合に、IRMサーバ秘密鍵でコンテンツ鍵が復号される」とある。プロジェクトを離任し適切な操作(グループからの削除)が行われていれば、ファイルの権限がなくその後の処理がされないため、ファイル参照できないと考える。


(3)c:60、d:196

c:64^10 = 2^(6*10) = 2^60
d:2^256 / 2^60 = 2^196

問題文の訂正で「暗号化されたコンテンツ鍵を入手できない」とされている。「コンテンツ鍵を保護するIRMサーバ公開鍵の解読には、2の112乗の計算量が必要」とあるが、この記述はコンテンツ鍵が入手された前提のため誤回答を誘うひっかけである。。保護されたファイルを解読するにはコンテンツ鍵を総当たりで特定するしかなく、最大で2の256乗の計算量が必要。


(4)e:辞書

辞書攻撃:パスワードを推測してログイン試行する
パスワードリスト攻撃:流出済みのID/パスワードを利用する


(5)f:多要素認証

パスワード認証が破られても、追加の認証で対策できないか考える。

 
設問3
利用者がファイルを開いたとき,画面をキャプチャし,攻撃者に送信する動作

マルウェア感染したPCからファイルを直接外部送信されるケースは暗号化により設計秘密を守れるが、画面をスクリーンショットして送信されるケースでは設計秘密を守れない。情報窃盗型のマルウェアとしてよくあるタイプのもの。

 

午後Ⅰ 問3

設問1
(1)LAN から切り離す。

マルウェア対策の基本。感染拡大を防ぐため、まずは感染疑義PCをネットワークから切り離す。


(2)ディスクイメージ

メモリダンプ でも正解な気がする。
マルウェア感染時の調査といえば、メモリフォレンジックス。

メモリフォレンジックとは?仕組みやメリットデメリット、価格について徹底解説|サイバーセキュリティ.com


(3)a:最新のマルウェア定義ファイルを保存した DVD-R の使用
   b:マルウェア定義ファイルを更新
   c:マルウェア対策ソフトの画面の操作

まずはbを回答して、aとcを考える。
b:マルウェアのフルスキャンを実施といえば、事前にマルウェア定義ファイルの最新化が必要。
a:PC-G向けの対処。PC-GはLANから切り離されている。「マルウェア定義ファイルをV社配布サイトからダウンロードし、そのファイルを保存したDVD-Rを用いて更新することもできる」とあるため、LANを経由せずにマルウェア定義ファイルを更新する方法として回答になる。
c:全社のPC利用者向けの対処。「PCの利用者及びサーバの管理者は、マルウェア対策ソフトの画面の操作によってマルウェア定義ファイルを手動更新できる」とあるため、それをコピペ回答する。


(4)Q 社内の全ての PC 及びサーバからのアクセス

「アクセス元IPアドレスがPC-Gであるアクセスをプロキシサーバのアクセスログで調査した」と書かれている。他に感染したPCがあったら見落としてしまう。
そこで、攻撃者サーバ(CリストのURL)に接続していた全てのPC及びサーバのログを調査する必要がある。

  
設問2
(1)3:総務部 LAN,営業部 LAN
   4:技術部 LAN

「Fサーバ1の利用者を総務部員および営業部員に、Fサーバ2の利用者を技術部員に」と書いてある。


(2)d:V 社配布サイトの URL
   e:全て

「Fサーバ1及びFサーバ2がインターネットと通信するのは、マルウェア定義ファイルの更新字だけ」と記載がある。
一方で、URLフィルタリング機能では「管理者拒否リスト及び管理者許可リストに何も設定していない」とあり、FWの設定ではサーバLAN→プロキシサーバ宛のHTTP通信が許可されている。
サーバLANとインターネット通信を運用に必要なものだけに絞っていない状態なので、通信を最小に絞るためにURLフィルタリングを設定してあげる。

マルウェア定義ファイルを自動更新だけは運用上必要なため、URLフィルタリングの設定では「V社配布サイトのURL」を許可して、それ以外をすべて拒否すればよい。

  
設問3
(1)登録した実行ファイルがバージョンアップされた場合

許可するソフトウェアに登録していても、実行ファイルの内容が少しでも変わると別のハッシュ値が計算されて使えなくなる。
ファイルのバージョンアップのたびに許可するソフトウェアに登録するハッシュ値を更新しないといけない。。


(2)登録した実行ファイルのマクロとして実行されるマルウェア

例えばExcelのマクロを悪用するマルウェアExcelを許可するソフトウェアに登録していたら、そのマクロ上で動作するマルウェア実行は防げない。

【令和4年度 春期 午後Ⅱ】情報処理安全確保支援士 SC 過去問 解説メモ

試験間近。過去問追い込み中。整理用にメモ。

IPA午後Ⅱ回答

午後Ⅱ 問1

設問1
(1)ア

imgは画像を表示するHTMLタグ。
クエリ文字列以降の値がquerystringに格納されると書かれており、GETメソッドであると考える。「">」で直前のタグを閉じてから、imgタグを挿入する。


(2)・ダウンロードするライブラリに既知の脆弱性がないかを確認する。
   ・特定の Web サイトからの入手をルール化し,明文化する。

WEBサイトを信頼せずダウンロード時にライブラリの脆弱性を確認するか、特定の信頼できるWebサイトに絞った入手ルールを作るか。

 
設問2
a:利用者ID 、b:セッションオブジェクト

セッションオブジェクト:サーバ側に保持されるセッション管理用のデータ。

csrftokenは利用者の値が発行されるが、それが詐取された場合の対策が検討されていない。csrftokenの値さえあっていれば第三者でも処理が通ってしまうことが問題。csrftokenを利用者と紐づけする必要がある。

 
設問3
(1)c:イ 画面β、d:ア 奥 、e:ア 可視の
   f:ア 画面α、g:イ 手間、h:イ 透明な

「ここをクリックして」で利用者情報の公開範囲設定を意図せず「制限なし」を選択した状態にさせる。
「次にここをクリック」で「更新」ボタンを押させる。
手前にクリックさせたい画面を透明化して置いておき、奥に誘導画面を配置しておけばよい。


(2)i:エ Content Security Policy、j:イ X-Frame-Options

巧妙化が進むクリックジャッキング!その仕組みと対策について解説! | Tech & Device TV

 
設問4
topicの値をhttps://db-y.b-sha.co.jp/に変更した。

「サイトYのDBサーバ:https://db-y.b-sha.co.jp/」と書いてある。
GETメソッドのクエリストリングでURLを指定し情報取得先を決めているため、そのURLをサイトYのDBサーバのWebインターフェースに向けたと繋げる。

 
設問5
(1)k:V氏が用意したサイト


(2)returnURLの値を固定値にする。

「サイトZはHostヘッダの値を、returnURL中のホスト名として指定する」と書かれている。
returnURLが任意に書き換え可能なHostヘッダの値を参照していることが問題のため、固定値にして変更できないようにする。

 
設問6
(1)①一部のセッション管理の脆弱性
   ②認可・アクセス制御の脆弱性

表1にツールの脆弱性診断の項目に一部のみ対象や対象外と記載がある。


(2)改良フェーズにおける 1 か月の休止期間

2週間周期の改良リリースでは脆弱性診断を毎回実施することは不可能と言っている。
できればやるスタイルの不定期診断で長期間やらないケースを避けたいので、定期的な診断時期を決めたい。
今の開発プロセスのままであれば、1か月の休止期間が開発に影響しないため脆弱性診断を実施するのにちょうど良さそう。


(3)・専門技術者による脆弱性診断が必要なときは,改良リリースを次回に持ち越
す。
   ・半年に一度,改良リリースの期間を長くする。
   ・定期的に,期間の長い改良リリースを設ける。

同様に、できればやるスタイルだとたいていは実施無しになるので定期的に実施するルールを決めたい。
改良リリース時に脆弱性診断を実施するとリリース遅延は避けられないため、あらかじめ診断による遅延を織り込んだ改良リリースを開発プロセスに組み込むように見直す。


(4)CSRF 対策用トークンの発行,HTML への埋め込み,必要なひも付け,及びこれを検証する処理

JPCERTから
クロスサイトリクエストフォージェリ(CSRF)とその対策
https://www.jpcert.or.jp/securecoding/AntiCSRF-201510.pdf


 

午後Ⅱ 問2

設問1
(1)a:キャッシュ

CDN:Content Delivery Networkの略。
オリジンサーバへの負荷分散のため、エッジロケーションにキャッシュサーバを配置。

【図解】CDNとは?仕組みと技術の基礎知識 - カゴヤのサーバー研究室


(2)b:DDos


(3)c:Host

HTTPリクエストのHostヘッダに元のURLのホスト(X-FQDN)が入る。

「HTTP」の仕組みをおさらいしよう(その2):リトライ! 触って学ぶTCP/IP(3)(2/3 ページ) - @IT


(4)Y-CDN-U-FQDN を名前解決した IP アドレスと同じ IP アドレスをもつ Web サイト

CDNから割り当てられたY-CDN-U-FQDNと同じIPアドレスを持つサイトはFWでブロックされる。


(5)d:TLS の接続先サーバ名

あらかじめY社のWebサイトへアクセスしてTLS接続を確立。そのTLS接続の内部で、同じCDN上にある攻撃者サーバと通信を行うことができてしまう。

RSAC 2019:攻撃者の通信チャネルのカモフラージュ | カスペルスキー公式ブログ

 
設問2
(1)ST は認証サーバに送られないから

STを復号して検証するのはGrWサーバであり、認証サーバ側で検証しないから。


(2)総当たり攻撃はオフラインで行われ,ログインに失敗しないから

STは「アクセス対象のサーバごとに発行され、サーバ管理者アカウントのパスワードハッシュ値を鍵として暗号化されている」とあり、ローカルPC側で暗号化されたハッシュ値を復号する総当たり攻撃をされる問題がある。この総当たり攻撃はローカルPC側でできてしまうため、サーバ側でログイン失敗回数を制限していても効果がない。

kerberos認証とは
https://wa3.i-3-i.info/word15908.html

 
設問3
(1)e:ウ クエリ文字列

処理1で「SAML Requestのエンコード結果とIDaaSのログイン画面のURLを組み合わせて、リダイレクト先URLを生成する」とあるから、GETメソッドのクエリ文字列にSAML Requestを埋め込んでいることがわかる。


(2)f:ア IDaaS

処理4ではSaaS側がディジタル署名を検証。その検証対象は、処理3でIDaaSが発行したSAML Responseに含まれるディジタル署名となる。


(3)g:偽造

ディジタル署名といえば、本人の署名であることの確認と改ざんの確認。


(4)h:1、i:3、j:4

h:処理1でリダイレクトURLを生成する際に使用するIDaaSのログイン画面のURL
i,j:処理3,4で扱うディジタル署名の検証では、それを復号する公開鍵が正当かどうかをディジタル証明書を検証して確認する必要がある

 
設問4
(1)k:ウ Sサービス、l:イ IDaaS、m:ア GrW-G

k,m:利用者情報の問合せ、利用者情報を返している関係性を考える。SサービスはGrW-Gの何らかの情報へアクセスするための認可トークンを持っておく必要がある。
l:認可要求やトークン要求を受けているため、IDaaSとなる。


(2)n:エ

「SサービスはGrW-Gから主催者のスケジュールを取得する」とある。


(3)o:2、p:6

認可要求した端末と認可コードを送付した端末が同じであることを検証するために、stateパラメータを利用する。

OAuth2.0 State の役割 - Qiita


(4)q:ウ PKCE

OAuth2.0 PKCEとは 〜Stateとの違い〜 - Qiita

 
設問5
(1)r:オ X社動画サーバ、s:エ T社投稿サイトの認証サーバ、t:ウ T社投稿サイトの投稿サーバ

r,t:「T社投稿サイトの投稿サーバへの自動投稿機能をX社動画サーバに追加したい」とあるから、X社動画サーバがT社投稿サイトの投稿サーバへの動画投稿のための認可トークンを発行してもらう側だとわかる。
s:「T社投稿サイトの認証サーバを用いた認証機能」と書かれており、それを使うとわかる。SサービスやIDaaSは問題文に登場しない。


(2)u:8

OpenID Connectのstate・nonce・PKCEについて使用法も含めて説明してみる | DevelopersIO


(3)v:イ base64url


(4)w:認証要求、x:IDトーク

OpenID Connectのstateとnonceの違いがわからなかった - Qiita