【令和3年度 秋期 午後Ⅰ】情報処理安全確保支援士 SC 過去問 解説メモ

試験間近。過去問追い込み中。整理用にメモ。

IPA午後Ⅰ回答

午後Ⅰ 問1

設問1
(1)a:接続先が保守用中継サーバではない

SSHクライアントはホスト認証によって、アクセス先のサーバがなりすましではなく正当なサーバかどうかを識別する必要がある。
そのために正当なサーバしか持たない秘密鍵によって生成されたフィンガプリントを検証する。

一致するフィンガプリントを生成できるのは、秘密鍵を持つサーバ(秘密鍵が流出していなければ初回認証を完了させたサーバのみ)。
SSH接続失敗時は、接続先IPアドレスを使用するサーバが異なるサーバに変わったか、同じサーバで鍵ペアの更新があってフィンガプリントが変わったことを考える。

SSH接続おけるホスト認証について
RURUK BLOG


(2)操作ログの改ざんや削除を防止するため

SSH認証ログ及び操作ログへのアクセスには特権利用者の権限が必要であり」と書いてある。最小権限の考え方、保守員の不正による操作ログの改ざんや削除を防ぐ。


(3)b:保守PC-A、c:インターネット

保守用中継サーバに接続して作業するのは、「通常は保守PC-Aから、必要に応じて保守PC-Bまたは保守PC-C」と書かれている。

保守PC-AはPC-LANにあり、PC-LANには他の業務PCも存在するため、保守PC-AのIPアドレスのみを許可する。
保守PC-B、保守PC-Cはインターネットから接続される。インターネットからの接続を常に許可することは危ないと思ったのか、「事前申請された時間帯だけシステム管理者が拒否→許可に変更する」としている。

 
設問2
(1)6

保守用中継サーバがあるのはDMZ内。DMZからインターネットに向けての通信を検知した。


(2)6月14日の7時0分から6月14日の9時30分まで

「保守を6月14日の7時から9時30分に行うという事前申請が出されていた」とあるので、その期間はFWの設定でインターネット→保守用中継サーバへの通信が許可になっていたことがわかる。
三者SSHサーバに接続可能だったのは、外部のインターネットからの通信が許可されていた期間。

 
設問3
(1)・保守員以外が不正に秘密鍵を利用できないようにするため
   ・秘密鍵が盗まれても悪用できないようにするため

保守用中継サーバへのSSH接続では、公開鍵認証によりクライアント認証をしている。
クライアントが持つ秘密鍵が万が一流出した場合でも、サーバへの不正アクセスを防ぐためにパスフレーズを設定することが推奨されている。

SSH公開鍵認証とは | ニフクラ

(2)d:パスワード認証

「パスワード認証から公開鍵認証に変更する」とされているため、パスワード認証は無効化しておく必要がある。


(3)e:秘密鍵

保守用中継サーバ→顧客管理サーバへのSSH接続も公開鍵認証に変更した。
保守用中継サーバをSSHクライアントとして、署名作成のための秘密鍵を保持することになると、不正アクセス時に顧客管理サーバへも被害が及んでしまうことを考える。

ssh agent forwardingを行うサーバー側の要点の備忘録 - Qiita


(4)f:送信元IPアドレスを固定にする

保守PCに固定のグローバルIPアドレスがあれば全てのインターネットからのアクセスを許可しなくてもよくなる。

 

午後Ⅰ 問2

設問1
a:Pパスワードの変更
b:PCにコピー

a:アクセス権限の変更もしくはパスワード変更のどちらか。アクセス権限は各ディレクトリ単位、パスワードはファイル単位に設定される。問題は全てのファイルに対して行う必要のある操作だから、パスワード変更が正解になる。
b:ファイルサーバからローカルPC上にダウンロードされたファイルは、アクセス権限やパスワードの設定を変更しても、元のパスワードのみで復号できてしまう。パスワード設定以外の別の方法でもファイル参照を権限管理をし、情報を保護する必要がありそう。

 
設問2
(1)ア、イ IRM管理者アカウント、グループ管理者アカウント

「ファイルの利用権限が自身の所属するグループのうち選択したグループに付与される」とあり、グループ単位でファイルアクセスへの権限が管理される。
アカウントの種類から、利用者アカウントをグループ追加したり削除できるのは、IRM管理者アカウントとグループ管理者アカウントとわかる。


(2)ii

理iiで「利用者アカウントがファイルの権限をもっている場合に、IRMサーバ秘密鍵でコンテンツ鍵が復号される」とある。プロジェクトを離任し適切な操作(グループからの削除)が行われていれば、ファイルの権限がなくその後の処理がされないため、ファイル参照できないと考える。


(3)c:60、d:196

c:64^10 = 2^(6*10) = 2^60
d:2^256 / 2^60 = 2^196

問題文の訂正で「暗号化されたコンテンツ鍵を入手できない」とされている。「コンテンツ鍵を保護するIRMサーバ公開鍵の解読には、2の112乗の計算量が必要」とあるが、この記述はコンテンツ鍵が入手された前提のため誤回答を誘うひっかけである。。保護されたファイルを解読するにはコンテンツ鍵を総当たりで特定するしかなく、最大で2の256乗の計算量が必要。


(4)e:辞書

辞書攻撃:パスワードを推測してログイン試行する
パスワードリスト攻撃:流出済みのID/パスワードを利用する


(5)f:多要素認証

パスワード認証が破られても、追加の認証で対策できないか考える。

 
設問3
利用者がファイルを開いたとき,画面をキャプチャし,攻撃者に送信する動作

マルウェア感染したPCからファイルを直接外部送信されるケースは暗号化により設計秘密を守れるが、画面をスクリーンショットして送信されるケースでは設計秘密を守れない。情報窃盗型のマルウェアとしてよくあるタイプのもの。

 

午後Ⅰ 問3

設問1
(1)LAN から切り離す。

マルウェア対策の基本。感染拡大を防ぐため、まずは感染疑義PCをネットワークから切り離す。


(2)ディスクイメージ

メモリダンプ でも正解な気がする。
マルウェア感染時の調査といえば、メモリフォレンジックス。

メモリフォレンジックとは?仕組みやメリットデメリット、価格について徹底解説|サイバーセキュリティ.com


(3)a:最新のマルウェア定義ファイルを保存した DVD-R の使用
   b:マルウェア定義ファイルを更新
   c:マルウェア対策ソフトの画面の操作

まずはbを回答して、aとcを考える。
b:マルウェアのフルスキャンを実施といえば、事前にマルウェア定義ファイルの最新化が必要。
a:PC-G向けの対処。PC-GはLANから切り離されている。「マルウェア定義ファイルをV社配布サイトからダウンロードし、そのファイルを保存したDVD-Rを用いて更新することもできる」とあるため、LANを経由せずにマルウェア定義ファイルを更新する方法として回答になる。
c:全社のPC利用者向けの対処。「PCの利用者及びサーバの管理者は、マルウェア対策ソフトの画面の操作によってマルウェア定義ファイルを手動更新できる」とあるため、それをコピペ回答する。


(4)Q 社内の全ての PC 及びサーバからのアクセス

「アクセス元IPアドレスがPC-Gであるアクセスをプロキシサーバのアクセスログで調査した」と書かれている。他に感染したPCがあったら見落としてしまう。
そこで、攻撃者サーバ(CリストのURL)に接続していた全てのPC及びサーバのログを調査する必要がある。

  
設問2
(1)3:総務部 LAN,営業部 LAN
   4:技術部 LAN

「Fサーバ1の利用者を総務部員および営業部員に、Fサーバ2の利用者を技術部員に」と書いてある。


(2)d:V 社配布サイトの URL
   e:全て

「Fサーバ1及びFサーバ2がインターネットと通信するのは、マルウェア定義ファイルの更新字だけ」と記載がある。
一方で、URLフィルタリング機能では「管理者拒否リスト及び管理者許可リストに何も設定していない」とあり、FWの設定ではサーバLAN→プロキシサーバ宛のHTTP通信が許可されている。
サーバLANとインターネット通信を運用に必要なものだけに絞っていない状態なので、通信を最小に絞るためにURLフィルタリングを設定してあげる。

マルウェア定義ファイルを自動更新だけは運用上必要なため、URLフィルタリングの設定では「V社配布サイトのURL」を許可して、それ以外をすべて拒否すればよい。

  
設問3
(1)登録した実行ファイルがバージョンアップされた場合

許可するソフトウェアに登録していても、実行ファイルの内容が少しでも変わると別のハッシュ値が計算されて使えなくなる。
ファイルのバージョンアップのたびに許可するソフトウェアに登録するハッシュ値を更新しないといけない。。


(2)登録した実行ファイルのマクロとして実行されるマルウェア

例えばExcelのマクロを悪用するマルウェアExcelを許可するソフトウェアに登録していたら、そのマクロ上で動作するマルウェア実行は防げない。