ファイナンス、情報通信技術のスキル・アグリゲーション・サイト
情報処理推進機構(IPA)が実施する情報処理技術者試験の「情報セキュリティスペシャリスト試験」(SC)午後Ⅰ試験・午後Ⅱ試験の過去の出題から、情報セキュリティへの考えを深めていきます。
過去の試験問題の全文と解答例、講評が、 https://www.jitec.ipa.go.jp
試験対策以外にも、情報セキュリティ学習をさらに進めるためのきっかけとなれば、と思います。
図1 サイ卜 X のネッ卜ワ一ク構成
図2 サイ卜 X のシステム概要
表1 DMZ の各サ一パのイベントログ
図3 DMZ の各サ一バで発生した事象
表2 Web サ一バのログイン履歴
表3 WebAP サ一バ 1 のログイン履歴
表4 WebAP サ一バ 2 のログイン履歴
A 氏 : ログイン履歴には,複数の利用者 ID のログインが記録されています。利用者 ID はどのように使い分けているのですか。 B 氏 : 運用では,“unyou” を使用しており,“administmtor” は使用していません。 A 氏 : そうだとすると,“administrator” という利用者 ID を使ってサーバにログインした者が攻撃者であると推測できます。 a から b に, b から c にという順番でログインしていますね。 B 氏 : それでは, 最初に侵入されたサーバは, a ということでしょうか。 A 氏 : その可能性が髙いですね。侵入された原因を特定するためには, a のアクセスログを調査する必要があります。
A 氏は,インターネットから侵入された原因を特定するために, a のアクセスログを調査した。担当者にヒアリングしたところ,設定に誤リがあり,インターネットから管理画面にアクセスできるようになっていたことが分かった。 a のアクセスログのうち, 攻撃者の IP アドレスからのものを表5に示す。調査の結果,①サーブレッ卜コンテナの管理画面に対して,よく使われる利用者 ID とパスワードでログインが試行され,その結果,ログインが成功したものと推測された。管理画面から,バッチファイルを a にアップロードされた後,タスクが登録されたり,バッチファイルが実行されたリしたと推測された。
表5 a のアクセスログ
No. 時刻 リクエスト ステータス
コード応答の
バイト数1 10:36:04 GET /test/ HTTP/1.1 404 1,277 2 10:36:23 GET /demo/ HTTP/1.1 404 1,277 3 10:59:12 GET /manager /html HTTP/1.1 401 2,550 4 10:59:12 GET /manager /html HTTP/1.1 401 2,550 5 10:59:12 GET /manager /html HTTP/1.1 401 2,550 6 10:59:12 GET /manager /html HTTP/1.1 401 2,550 7 10:59:13 GET /manager /html HTTP/1.1 401 2,550 8 10:59:13 GET /manager /html HTTP/1.1 401 2,550 9 10:59:13 GET /manager /html HTTP/1.1 401 2,550 10 10:59:13 GET /manager /html HTTP/1.1 401 2,550 11 10:59:14 GET /manager /html HTTP/1.1 200 19,689 12 11:02:09 GET /manager /html HTTP/1.1 200 19,689 13 11:02:27 GET /manager /html /upload HTTP/1.1 200 21,453 14 11:02:34 GET /demo /index.jsp HTTP/1.1 200 2,588 15 11:39:23 GET /demo /index.jsp HTTP/1.1 200 2,588 16 11:39:33 GET /demo /index.jsp ?sort=1 &dir=C%3A%5C HTTP/1.1 200 3、453 17 11:39:47 GET /demo /index.jsp ?sort=1 &dir=C%3A%5CTemp HTTP/1.1 200 2,129 18 11:39:52 GET /demo /index.jsp ?sort=1 &dir=C%3A%5C Temp %5Cprinter HTTP/1.1 200 1,347 19 11:41:02 GET /demo /index.jsp HTTP/1.1 200 3,697 20 11:42:05 GET /demo /index.jsp HTTP/1.1 200 3,697 21 11:42:09 GET /demo /index.jsp HTTP/1.1 200 2,506 22 11:41:18 GET /demo /index.jsp HTTP/1.1 200 3,697 23 11:42:39 GET /demo /index.jsp ?sort=1 &dir=C%3A%5C Temp %5Cprinter HTTP/1.1 200 1,896 注記 日付は,2015年1月22日である。
次は, a のアクセスログの調査過程における A 氏と B 氏の会話である。
A 氏 : 侵入された後,demo ディレクトリに index.jsp という名前のファイルをアップロードされたようです。アクセスログの No. d のステ一タスコードが e であり,No. f のステ一タスコ一ドが g であるということから,demo ディレクトリは攻撃者が No. f の直前で作成したことが分かります。 B 氏 : 確かに, a には,demo ディレクトリは元々あリませんでした。 A 氏 : index.jsp を調査したところ,攻撃ツールであることが分かりました。 指定したファイルをインターネット上のサーパにアップロードする機能,OS のファイル共有機能を使って他のサーバにファイルを転送する機能,OS のファイル共有機能を使って他のサーパ上で OS コマンドを実行する機能,及び DBMS に対して SQL を発行する機能をもっています。
A 氏は,内部 LAN 及び管理 LAN ヘの影響を特定するために,FW のフィルタリングル一ルを確認して,侵入されたサーパからどの範囲がアクセス可能だったかを調査することにした。FW のフィルタリンダルールを表6に示す。W 社のボリシでは,業務上必要なサービスだけを FW で許可することになっているが,② FW のフィルタリングルールにはボリシを満たしていないものがあることが判明した。
表6 FW のフィルタリングル一ル
項番 送信元 宛先 サービス 動作 1 インターネット 192.168.0.10 HTTP 許可 2 インターネット 192.168.0.20,192.168.0,30 HTTP,https 許可 3 192.168.0.20,192.168.0.30 192.168.50.10 JDBC 接続 許可 4 192.168.0.20,192.168.0.30 192.168.50.20 ファイル共有 許可 5 192.168.90.20 192.168.0.0/24,192.168.50.0/24 全て 許可 6 192.168.90,10 192.168.0.0/24,192.168.50.0/24 ログ収集 許可 7 192.168.50.0/24,192.168.90.0/24 192.168.0.10 NTP 許可 8 192.168.0.10 公的機関の NTP サーバ NTP 許可 9 全て 全て 全て 拒否
- 注記1 項番が小さいものから順に,最初に一致したルールが適用される。
- 注記2 FW は,ステ一トフルインスペクション型のものである。
- 注記3 全てのルールについて,ログを取得する設定となっている。
(a) WebAP サーパ 1 と WebAP サーバ 2 に,図4のアクセス制御の設定を行うことで,送信元の IP アドレスが 127.0.0.1 である場合だけ,サーブレットコンテナの管理画面へのアクセスを許可する。
<Location /manager/>
Order deny,allow
Deny from all
Allow from 127.0.0.1
</Location>図4 アクセス制御の設定
(b) 各サーバの利用者 ID “administmtor" を無効化し,利用者 ID “unyou” は,サーバごとに異なる利用者 ID に変更し,さらに,パスワードもサーバごとに異なるものに変更する。
設問1 本文中の a ~ c に入れるサーバ名を,図1中の字句を用いて答えよ。
設問 解答例・解答の要点 設問1 a WebAP サーバ 2 b WebAP サーバ 1 c Web サーバ
設問2 〔侵入された原因の特定〕 について,(1),(2) に答えよ。
(1) 本文中の d ~ g に入れる適切な数値を答えよ。
設問 解答例・解答の要点 設問2 (1) d 2 e 404 f 14 g 200
(2) 本文中の 下線① のように推測された理由を,表5 のログに基づいて 60 字以内で述べよ。
設問 解答例・解答の要点 設問2 (2) No.3 から 10 までのステータスコードが 401 で失敗を繰り返しており,No.11 は 200 でログインに成功しているから
設問3 〔影響範囲の特定〕 について,(1),(2) に答えよ。
(1) 内部 LAN への影響を調査するには,FW のどのフィルタリングルールで取得されるログを確認すればよいか。該当するものを全て,表6の項番で答えよ。
設問 解答例・解答の要点 設問3 (1) 3,4
(2) 本文中の 下線② について,ボリシを満たしていないことが判明したルールはどれか。表6 の項番で答えよ。また,当該ルールがポリシを満たすように設定すべきサービスを二つ答えよ。
設問 解答例・解答の要点 設問3 (2) 項番 5 サービス ① ・ファイル共有 ② ・リモートデスクトップ
設問4 〔対策とシステム再稼働〕 について,本文中の (a) ,(b) の対策は,今回のインシデントにおける一連の攻撃のうち,どのような攻撃を防ぐために実施するものか。(a) ,(b) について,防ぎたい攻撃をそれぞれ 40 字以内で述べよ。
設問 解答例・解答の要点 設問4 (a) サーブレットコンテナの管理画面に対するインターネットからの不正アクセス (b) 自動的にログインを行う OS の仕様を利用した,他のサーバへの進入