中間者攻撃への対策【平成29年度 春期 情報処理安全確保支援士試験 午後1 問1 設問2】
平成29年度 春期 情報処理安全確保支援士試験 午後1 問1 設問2
〔顧客情報窃取の有無の調査〕
続いて、W氏は顧客情報窃取の有無を調査した。CRMサーバの顧客情報を窃取する手口として三つ考えられたので、それぞれ調査を行った。
一つ目は、不正侵入されたCRMサーバからの直接の情報窃取である。調査した結果、CRMサーバからの直接の情報摂取はなかったと判断した。
二つ目は、AさんのPCからAさんがCRMサーバにアクセスした際の、AさんのPC又は通信からの情報窃取である。調査した結果、AさんはCRMサーバにはアクセスしていないことがFWのログ及び聞き取りから確認できた。
三つ目は、その他のPCからCRMサーバにアクセスした際の通信からの情報窃取である。D社内のWebブラウザの設定は、②サーバ証明書の検証に失敗した場合は接続しない設定にしている。このことから、CRMサーバにアクセスした際の通信からの情報摂取はなかったと判断した。
W氏は更に調査した結果、顧客情報の摂取はなかったとN部長に報告した。
【出典:情報処理安全確保支援士試験 平成29年度春期午後1問1(一部、加工あり)】
②について、このような設定にすることは、AさんのPCに侵入した攻撃者によって行われるどのような攻撃への対策になるか。(攻撃名と、攻撃によって詐称される対象の機器名)
攻撃名:中間者攻撃、詐称される対象の機器名:CRMサーバ
CRMサーバの顧客情報を搾取する手口として、「その他のPCからCRMサーバにアクセスした際の通信からの情報搾取」について考える場面です。
まず、PCからCRMサーバへの通信については、図1のネットワーク構成から、PCセグメントからFWを介してサーバセグメントへの通信になります。そして、表1のFWのフィルタリングルールの項番3が該当し、サービスとしては「HTTP over TLS」が許可されていることが分かります。
「HTTP over TLS」を使用しているということで、TLSの暗号化通信上でHTTPがやり取りされています。これにより、第三者による盗聴や改ざんを防ぐことが可能となります。
また、「HTTP over TLS」では、Webサーバが正規のドメイン所有者であることをサーバ証明書により保証する仕組みを持っています。これにより、第三者によるサーバのなりすましを防ぐことが可能となります。
問題文の前半(設問1)で、攻撃者はPCセグメントのマルウェアに感染したAさんのPCを遠隔操作し、ARPポイズニングによりPCセグメントからサーバセグメントへの通信をAさんのPCを経由することで通信を盗聴しました。
この状態で、PCからCRMサーバへの「HTTP over TLS」の通信を盗聴するには、AさんのPC上で「HTTP over TLS」の暗号化通信を一旦復号して読み取り、再度暗号化して戻すことを行う必要があります。
このような攻撃を中間者攻撃(MITM:Man-In-The-Middle attack)といい、通信を行う機器の間に割り込む形で、通信を盗聴する手法の一つになります。暗号通信の場合でも、技術的には鍵の情報をすり替えることで、通信を行う二者には気付かれずに情報を復号して盗聴したりすることも可能です。
しかし、問題文の場合においては、攻撃者はCRMサーバの正規のサーバ証明書を持っていないためサーバ証明書の検証を通すことができません。D社内のブラウザ設定で、サーバ証明書の検証に失敗すると接続しないとなっていることから、この攻撃は失敗します。
ちなみに、中間者攻撃の主なパターンは、無線LAN環境での通信傍受による盗聴、脆弱性のあるアプリ悪用による盗聴、オンラインバンキングでの送金先改ざんなどがあります。
また、サーバ証明書には保証する内容により複数の種類があります。上記ではドメイン所有者を挙げましたが、これはドメイン認証というものでドメインの使用権を認証するものです。その他には、ドメイン認証に加え、組織の法的実在性を認証する企業認証、さらに企業認証に加え、組織の物理的実在性、運営、承認者・署名者の確認を認証するEV認証があり、徐々に認証レベルが高くなっています。