【令和3年度 春期 午後Ⅱ】情報処理安全確保支援士 SC 過去問 解説メモ

試験間近。過去問追い込み中。整理用にメモ。

IPA午後Ⅱ回答

午後Ⅱ 問1

設問1
(1)外部から入手した利用者IDとパスワードの組みのリストを使ってログインを試行する攻撃


(2)他のサービスで利用したパスワードとは別のものを設定すること


(3)・IP アドレスから分かる地理的位置について,過去のログインのものとの違いを確認する。
   ・Web ブラウザの Cookie を利用し,過去にログインした端末かを判定する。

リスクベース認証の判定に利用されるリスク要素が回答になる。

「リスクベース認証」とは?~仕組みやメリット・デメリットを紹介~


(4)a:タイムゾーン

タイムゾーンで使われる「UTC(協定世界時)」とは - パソコン用語解説


(5)b:9

 
設問2
マルウェアに感染した USB メモリを介して管理用 PC に侵入し,さらに店舗管理サーバへ侵入する。

図2の注記に「店舗管理システムと社内LANとの間でデータの受渡しが必要な場合は、USBメモリを用いる」とある。
ネットワークが分離されている場合でも、USB経由でマルウェアが感染することを考える。

 
設問3
(1)c:オ 情報セキュリティ委員会

問題文序盤に「情報セキュリティ委員会は、経営陣が委員となり、情報セキュリティについての基本方針及び重要な課題を取り扱う」と書かれている。


(2)d:イ 検知、e:カ 分析、f:ウ 根絶

 
設問3
(1)5

図2からログに出ている正規のグローバルIPは以下の通り。
・x1.x2.z1.0/28 → x1.x2.z1.0 ~ x1.x2.z1.15
・x2.y2.z2.128/30 → x2.y2.z2.128 ~ x2.y2.z2.131

SSH接続であり、かつ上記のルールから外れたIPアドレスが怪しい。


(2)脆弱性 M を悪用しても一般利用者権限での操作であるが,“/etc/shadow”ファイルの閲覧には管理者権限が必要であるから

図3に「OSの一般利用者権限には、必要最小限の権限だけが与えられている」とあり、“/etc/shadow”ファイルの参照には管理者権限が必要である。
管理者権限で実行できる脆弱性Lと、任意のコマンド実行をできる脆弱性Mを組み合わせることで攻撃が成立した。


(3)攻撃の接続元IPアドレスを“/etc/hosts.allow”ファイルに追加する。

図3に「R1サーバの“/etc/hosts.allow”ファイルの設定において、SSHの接続元をN社とV社に限定している」とある。
攻撃者がSSHで接続するために、攻撃元のIPアドレスまたはをホスト名を“/etc/hosts.allow”ファイルに追記したと考える。

「/etc/hosts.allow」ファイル、「/etc/hosts.deny」ファイル - Linux技術者認定 LinuC | LPI-Japan


(4)24

F1ファイル:320kBで8IP
F2ファイル:960kBで〇IP
1IPあたり40kBだから、〇=24


(5)FW2において,インターネットからのインバウンド通信はN社とV社からの通信だけを許可する。

アクセスコントロールに無駄があれば見直す。
図2に「インターネットからのインバウンド通信はFW2において、各サーバへのSSHおよびHTTPを許可し、その他を遮断」とあるが、SSHとHTTPのプロトコルについては接続元に制限がない。OS側の“/etc/hosts.allow”ファイルのみで接続元を制限していることが問題。

 
設問5
・複数の脆弱性が同時に悪用される可能性の観点
・対応を見送った脆弱性の影響の観点

今回の事象では、個別の脆弱性の評価では問題にならなかったが、複数の脆弱性を組み合わせた場合を想定せず脆弱性を過小評価したことが攻撃に繋がった。

 

午後Ⅱ 問2

設問1
(1)オ リンクローカルアドレス

リンクローカルアドレス(169.254.xxx.xxx)とは - 意味をわかりやすく - IT用語辞典 e-Words


(2)多くの個人所有機器を C 社内 LAN に接続することによって,IP アドレスが枯渇するという問題が引き起こされた。

リンクローカルアドレスが割り当てられたことと、「多くの従業員は、個人所有機器をAPに接続して使用している」とあることから、IPアドレスが枯渇したと考える。


(3)・稼働させたまま行う方法 :L2SW にミラーポートを設定し,そのポートにLANモニタを接続してDHCP OFFERの数を確認する。
   ・停止させて行う方法 :DHCP による IP アドレスの配布がないことを確認する。

DHCPのメッセージ:DHCP Discover → DHCP Offer → DHCP Request → DHCP Ack

ブロードキャストで送信したDHCP Discoverに対して、DHCP Offerの応答が複数確認されたら他のDHCPサーバが稼働していることになる。

TCP/IP - DHCPとは

 
設問2
企画部の部員がアクセスできるチャットエリアで共有されている情報

「最大でどの程度の被害となり得るかを判断するために〜」とある。被害の最大値は、不正アクセスした場合に、取得できる情報の範囲となる。

 
設問3
(1)a:C-PC、b:AP

IEEE802.1Xの認証のための3つの構成要素
・Supplicant:認証要求するクライアント
・Authenticator:認証の仲介機器、無線LANアクセスポイント
・Authentication Server:認証サーバ

IEEE802.1X認証とは、EAPとは


(2)c:エ "6."より後に

無線LAN接続後に、DHCPIPアドレスを得る。

 
設問4
(1)・インターネットを使って情報収集する業務
   ・事業部や企画部の顧客への提案や企画の立案

「事業部および企画部では、顧客への提案や企画の立案時にインターネット上にある多くの情報を収集〜」とある。インターネットアクセスを特定のサイトのみに絞ることはできなそう。


(2)2 URLフィルタリング

2に「アクセス可能なURLを制限する」とある。


(3)1 利用者IDによるフィルタリング

1に「許可された利用者IDの場合だけ通信を許可」とある。


(4)ウ 5~6

表2のサービスQの認証で「ディジタル証明書によるTLSクライアント認証」とある。外部機器からの接続の場合、サービスQへの認証要求時にクライアント認証が成功せずシーケンスが中断される。

 
設問5
(1)・ISAE3402/SSAE16
   ・ISMS 認証

ISMSクラウドセキュリティ認証も正解と思う。

概要 | ISO/IEC 27017(クラウドサービスセキュリティ) | ISO認証 | 日本品質保証機構(JQA)ISMS適合性評価制度 - 情報マネジメントシステム認定センター(ISMS-AC)

(2)d:4 自動暗号化

万が一不正アクセスされたケースを想定した情報漏洩の対策→暗号化

 
設問6
(1)秘密鍵を書き出しできないように設定する。

クライアント認証に使っているディジタル証明書またはそれを生成する秘密鍵が流出してしまうと、別の端末でもアクセスできてしまう。

【図解】クライアント証明書(https,eap-tls)の仕組み ~シーケンス,クライアント認証,メリット~ | SEの道標


(2)管理者が,Pソフトを,一般利用者権限では変更できないように設定する。

「Pソフトを、一般利用者権限では動作の停止やアンインストールができないよう設定できる」と書いてある。端末制御エージェントであるPソフトを一般利用者が停止/削除できたら要件を満たせないので設定が必要。