Webサーバに対する不正侵入とその対策【平成28年度 春期 基本情報技術者試験 午後 問1】

平成28年春 基本情報技術者試験 午後 問1

問1 Webサーバに対する不正侵入とその対策に関する次の記述を読んで、設問に答えよ。

 A社は、口コミによる飲食店情報を収集し、提供する会員制サービス業者である。会員制サービスを提供するシステム(以下、A社システムという)を図1に示す。

f:id:aolaniengineer:20200203042111p:plain

(1)FW、Webサーバ及びDBサーバがあり、スマートフォンなどの利用者端末とはインターネットを介して接続されている。

(2)WebサーバはDMZに置かれており、DBサーバはLANに置かれている。また、利用者端末からWebサーバへの接続には、セキュリティを考慮してTLSを用いている

(3)会員登録を行った利用者(以下、会員という)には、IDとパスワードが発行される。

(4)DBサーバには、会員情報(氏名、メールアドレス、訪れた飲食店情報、ログイン情報(IDとパスワード)など)と公開情報(飲食店情報、評価情報)が保管されている。

(5)会員は、公開情報を閲覧することができる。また、Webサーバにログインすることで、DBサーバに保管してある自分の会員情報と自らが書き込んだ公開情報の更新、及び新しい公開情報の追加が行える。

(6)非会員は、公開情報の閲覧だけができる。

(7)会員がWebサーバにログインするには、IDとパスワードが必要であり、A社システムはDBサーバに保管してあるログイン情報を用いて認証する。

(8)Webサーバ及びDBサーバでは、それぞれでアクセスログ(以下、ログという)が記録されており、システム管理者が定期的に内容を確認している、また、システム管理者は、通常、LANからWebサーバやDBサーバにアクセスして、メンテナンスを行っている。

 なお、外部からTelnetやSSHでWebサーバに接続して、インターネットを介したリモートメンテナンスが行えるようにしてあるが、現在はリモートメンテナンスの必要性はなくなっている

 ある日、システム管理者が、ログの確認において、通常とは異なるログが記録されているのを発見した。そのログを詳しく調査したところ、システム管理者以外の者が管理者IDと管理者パスワードを使ってWebサーバに不正侵入したことが明らかになった

 そこで、システム管理者は上司と相談し、会員制サービスを直ちに停止した。次に、今回の不正侵入に対する被害状況の特定と対策の検討を行った。不正侵入による被害状況と対策の一部を抜粋したものを表1に示す。

f:id:aolaniengineer:20200203042153p:plain

a:新たな秘密鍵と公開鍵を生成し、その鍵に対する公開鍵証明書の発行手続を行う。

「利用者端末からWebサーバへの接続には、セキュリティを考慮してTLSを用いている」とあるように、通信内容はTLSで用いられる秘密鍵により暗号化されています。

Webサーバへの不正侵入の詳細は不明ですが、秘密鍵への不正アクセスがあったかは確認されていないとしても、予防の意味も含め秘密鍵と公開鍵を変更する必要があります。

b:インターネットからのアクセスをFWで禁止し、TelnetやSSHのポートは閉じる。

「管理者IDと管理者パスワードを使って不正侵入した」とあり、インターネットを介してTelnet又はSSHを使用してアクセスしたと考えられます。

「現在はリモートメンテナンスの必要性はなくなっている」ことから、FWでのインターネットからのTelnet又はSSHによるアクセスを禁止する対策が必要です。

c:管理者パスワードは変更し、全会員にパスワードの変更を依頼する。

まずは、管理者ID・パスワードでの不正侵入とのことで、管理者パスワードを変更する必要があります。

Webサーバに不正侵入した攻撃者は、そこからDBサーバの情報にまでアクセスしている可能性があり、漏えいの有無の特定に限らず、全会員のパスワードを変更する必要があります。

 また、パスワードの変更に合わせて、パスワードの強度(パスワードの候補数)の検討を行った。これまでパスワードは、英子文字26文字だけを受け付け、長さは6文字だった。これに対し、他の3通りのパスワードの強度を比較した。その比較結果を表2に示す。

f:id:aolaniengineer:20200203042218p:plain

d:26の2乗

英子文字は26種であり、6文字の場合は26の6乗、8文字の場合は26の8乗となるため、26の2乗倍となります。

e:2の8乗

英子文字と英大文字で8文字の場合は52の8乗となり、(52÷28)の8乗倍となります。

 この強度の比較結果を踏まえ、次のようにA社システムを変更し、対策を実施した後に会員制サービスを再開することにした。

(1)パスワードの文字種としては、英大文字と英子文字、数字、記号を受け付ける。

(2)長さが8文字以上16文字以下から成るパスワードを受け付ける。

(3)辞書に登録されている文字列など推測されやすいパスワードは受け付けない。

【出典:基本情報技術者試験 平成28年度春期午後問1(一部、加工あり)】