【令和3年度 秋期 午後Ⅱ】情報処理安全確保支援士 SC 過去問 解説メモ

試験間近。過去問追い込み中。整理用にメモ。

IPA午後Ⅱ回答

午後Ⅱ 問1

設問1
(1)a:<、b:>

「<」と「>」のエスケープ処理。

HTMLで特殊文字のエスケープ処理を行う方法【初心者向け】 | TechAcademyマガジン


(2)c:エ javascript:alert('XSS!')

<a href="リンク先URL">リンクテキスト</a>
リンクテキストの文字列がハイパーリンクされ、リンク先URLへ飛ぶ。

「”XSS!”という内容のダイアログボックスが表示された」とあるので、JavaScriptのalertメソッドが使われたと考える。

[JavaScript入門]alertの使い方!主要ブラウザ4つでの表示を確認 | コードライク

 
設問2
(1)http://又は https://で始まるURLだけを出力するようにする。

参考URLの欄に、URL以外を出力したくない。


(2)URLと同じオリジンであるスクリプトファイル

Content Secrity Policyはブラウザが持つセキュリティの仕組み。スクリプトの実行に制限をかけられる。
scipt-src ’self’; は同じドメインから読み込まれたスクリプトのみ許可。

【解説】クロスサイトスクリプティングのリスク軽減策!CSPについて | Proactive Defense

(3)スクリプト:HTMLファイル中に記載されたスクリプト
   呼び出し方法:スクリプトを別ファイルとして同一オリジンに保存して,HTMLファイルから呼び出す。

HTMLファイル内のインラインスクリプトはブロックされるため、スクリプトを別ファイルとして同一ドメインのWebサーバ側で保持し、HTMLファイルと一緒に渡せばよい。

 
設問3
(1)d:ウ 情報セキュリティ管理策、e:ア 個人情報保護

ISO27001:情報セキュリティマネジメントシステムISMS
ISO27017:ISMSクラウドセキュリティ
ISO27018:クラウドサービスの中でも個人情報保護に特化した実践の規範


(2)ファイルをU社が管理する鍵で暗号化してからアップロードする。

「F国内に保存されているデータを、F国政府に強制的に退出させる国内法が存在する」とある。
万が一そういった状況になって、クラウドサービス上に保存しているデータが取られたときの対策を考えると、自社側で生成した鍵で暗号化しておくしかなさそう。
ファイルが流出した時のための対策ときたら暗号化。

 
設問4
(1)f:同一利用者IDでのログイン失敗

同じ表の項番2で「一定時間当たりの同一IPアドレスからの異なる利用者IDによるログイン失敗の回数が〜」とあるから、書き方を合わせる。


(2)アクセス元IPアドレスを変えながら,不正アクセスを続けた場合

攻撃者目線で考えれば良い。IPアドレスを変えればログイン失敗回数のカウントがリセットされる。閾値に届かないようにIPアドレスをうまく変えれながらログイン試行すれば検知されない。

 
設問5
(1)g:メッセージをKサービスとの間で中継

Kサービスのオリジンを署名対象に含めれば、Webブラウザが正規のKサービスへアクセスしていることを検証できる。
攻撃者がWebブラウザとKサービスの間に入って通信を中継し、多要素認証のコードまで詐取して不正アクセスすることを防げる。


(2)h:生体認証、i:Kサービス、j:アカウントを削除、k:アカウントを無効に

退職者のアカウントは削除する。在職中で問題が起こったアカウントは無効にする。


(3)Gサービスへのアクセスを,ファイル受渡し用PCからのアクセスだけに限定できるから

「Dシステムで要求されていたセキュリティ要件」が何かを考える。
最初の方に「Dシステムにはファイル受渡し用PCからだけアクセスすることを求めている。しかし、U社ではいずれの順守状況も確認していなかった」と書かれている。
ファイル受渡しPCに内蔵された生体認証機能を認証器とすれば、同時にアクセス端末を制限する要件を満たせる。


 

午後Ⅱ 問2

設問1
(1)a:ア 経営者、b:イ システム管理者、c:イ システム管理者、d:ウ テレワーク勤務者


(2)CRYPTREC

CRYPTREC:Cryptography Research and Evaluation Committees
電子政府推奨暗号リスト、推奨候補暗号リスト、運用監視暗号リストの3種類。

CRYPTREC暗号リストとは?初心者向けにわかりやすく解説!|ITトレンド

 
設問2
(1)エ ローカルブレイクアウト

OpenFlow:SDNを実現する技術。
Software Defined Networking:ソフトウェアで定義されるネットワーク。英語そのまま。
ゼロトラストネットワーク:何も信用しない前提で対策を講じる考え方。英語そのまま。
ローカルブレイクアウトトラフィックの一部を各拠点から直接行う方法。集約している閉域ネットワークのトラフィックを抑える。

LBO(Local Break Out:ローカルブレイクアウト)とは?意味・定義 | ITトレンド用語 ||NTTコミュニケーションズ


(2)B サービスのアクセス制限機能によって通信が拒否されたから

意図せずブロックされた→アクセスコントロールを疑う。
「アクセス元IPアドレスがUTMのグローバルIPアドレスの場合だけアクセスが許可される」と書かれている。

 
設問3
(1)マルウェア内にFQDNで指定したC&CサーバのIPアドレスの変更

IPアドレスおよびそのFQDNDNSの正引き結果のIPアドレスの二つを合わせたIPアドレスのリストを拒否する」とある。
攻撃者側がFQDNでnslookupされるAレコードのIPアドレスを設定変更すれば、拒否リストをすり抜けできる。


(2)C&Cサーバとの通信時にDNSへの問合せを実行しない場合があるから

マルウェアにはC&CサーバのIPアドレスFQDNのリストが埋め込まれていた」とある。
IPアドレスで直接通信すればDNSへの問合せは実行されず、DNSシンクホール機能をすり抜けできてしまう。


(3)f:イベントログの消去を示すログ

「一部の業務PCではすべてのイベントログが消去された痕跡があった。~イベントログにイベントログの消去を示すログが記録」と書かれている。
イベントログにαログとβログがなくても、消去されている可能性がある。


(4)横展開機能と待機機能だけを実行していた場合

βログは遠隔操作機能が実行された場合に記録される。それ以外の状態遷移を繰り返していた場合、確認ツールでは検知されない。


(5)UTMのIDS機能によって攻撃が検知でき,システム管理者に連絡がされるから

DCと利用者LANの差分はUTM機能があること。DC内にサーバを移設すれば、攻撃を受けた際にUTMのIDS機能によって検知され、システム管理者に通知される。

 
設問4
(1)g:7月14日

感染調査の対象は化学コン。全ての調査をしていたらキリがないため、まずは感染の疑いが高い端末を見つける。
初めての感染が7/14なので、それ以降の日付で調査する。
本来は起因となった4/1の設定変更以降のログを全て見ることが理想だが、時間とのトレードオフの関係もあり優先度をつけて対応する方針。


(2)h:IP リストに登録された IP アドレス

C&CサーバのIPアドレス宛ての通信ログをみればよい。


(3)連携端末以外のIPアドレスを送信元とする通信記録

感染した端末がC&Cサーバと通信していれば、会員FWのログに残っているはず。
任意のIPアドレス - 連携端末のIPアドレス = 感染した会員の端末のIPアドレス


(4)連携端末を一時的にネットワークから切り離した対応

すでに対応を行ったので「リスクは相対的に低い。」と書かれている。ゼロではない。
すでにやったことで相対的にリスクが低くなる対応といえば、連携端末をネットワークから切り離したことしかない。