【情報処理安全確保支援士試験 令和5年度 春期 午後1 問2 No.1】

情報処理安全確保支援士試験 令和5年度 春期 午後1 問2

【出典:情報処理安全確保支援士試験 令和5年度 春期 午後1 問2(一部、加工あり)】

問2 セキュリティインシデントに関する次の記述を読んで、設問に答えよ。

 R社は、精密機器の部品を製造する従業員250名の中堅の製造業者である。本社に隣接した場所に工場がある。R社のネットワーク構成を図1に示す。

 サーバ、FW、L2SW、L3SW及びPCは、情報システム課のU課長、Mさん、Nさんが管理しており、ログがログ管理サーバで収集され、一元管理されている。
 DMZ上のサーバのログは常時監視され、いずれかのサーバで1分間に10回以上のログイン失敗が発生した場合に、アラートがメールで通知される。
 FWは、ステートフルパケットインスペクション型であり、通信の許可、拒否についてのログを記録する設定にしている。FWでは、インターネットから受付サーバへの通信は443/TCPだけを許可しており、受付サーバからインターネットへの通信はOSアップデートのために443/TCPだけを許可している。インターネットから受付サーバ及びメールサーバへのアクセスでは、FWのNAT機能によってグローバルIPアドレスをプライベートIPアドレスに1対1で変換している。
 受付サーバでは、取引先からの受注情報をDBサーバに保管するWebアプリケーションプログラム(以下、アプリケーションプログラムをアプリという)が稼働している。DBサーバでは、受注情報をファイルに変換してFTPで製造管理サーバに送信する情報配信アプリが常時稼働している。これらのアプリは10年以上の稼働実績がある。

[DMZ上のサーバでの不審なログイン試行の検知]
 ある日、Mさんは、アラートを受信した。Mさんが確認したところ、アラートは受付サーバからDBサーバとメールサーバに対するSSHでのログイン失敗によるものだった。また、受付サーバからDBサーバとメールサーバに対してSSHでのログイン成功の記録はなかった。Mさんは、不審に思い、U課長に相談して、不正アクセスを受けていないかどうか、FWのログと受付サーバを調査することにした。

[FWのログの調査]
 ログイン失敗が発生した時間帯のFWのログを表1に示す。

 表1のFWのログを調査したところ、次のことが分かった。

  • 受付サーバから工場LANのIPアドレスに対してポートスキャンが行われた。
  • 受付サーバから製造管理サーバに対してFTP接続が行われた。
  • 受付サーバと他のサーバとの間ではFTPのデータコネクションはなかった。
  • DBサーバから製造管理サーバに対してFTP接続が行われ、DBサーバから製造管理サーバにFTPの(a)モードでのデータコネクションがあった。

 以上のことから、外部の攻撃者の不正アクセスによって受付サーバが侵害されたが、攻撃者によるDMZと工場LANとの間のファイルの送受信はないと推測した。Mさんは、受付サーバの調査に着手し、Nさんに工場LAN全体の侵害有無の調査を依頼した。

a:パッシブ

DBサーバから製造管理サーバに対してFTP接続が行われ、DBサーバから製造管理サーバにFTPの(a)モードでのデータコネクションがあった。
 FTPのモードと言えば、アクティブモードかパッシブモードの2種類です。
 FTPでは、制御用の通信として制御コネクション(21/TCP)と、やり取りされる通信用としてデータコネクションがあり、制御用コネクションはFTPクライアントからFTPサーバの方向に対し、データコネクションの方向はモードによって異なります。

  • アクティブモード:制御用コネクションとは逆に、データコネクション(20/TCP)がFTPサーバからFTPクライアントの方向
  • パッシブモード:制御用コネクションと同じ、データコネクション(任意のポート番号)がFTPクライアントからFTPサーバの方向

 この違いは、FTPクライアントとFTPサーバ間にファイアウォールを経由する場合に関わります。
 アクティブモードの場合は、制御コネクションと逆方向でデータコネクションが発生するため、ファイアウォールでブロックされます。
 一方、パッシブモードの場合は、制御コネクションと同じ方向でデータコネクションが発生し、ファイアウォールでは許可されます。(厳密にはポート番号など適切に設定されている必要があります)
 問題文の場合、DBサーバ(FTPクライアント)から製造管理サーバ(FTPサーバ)へのFTP接続で、DBサーバから製造管理サーバへのデータコネクションがあったとのことから、パッシブモードであることが分かります。
 実際のFWのログ(表1)から該当する通信を確認します。
送信元アドレスがDBサーバ(192.168.0.2)、宛先アドレスが製造管理サーバ(192.168.1.145)である項番1-233、1-234で、1-233が制御コネクション(21/TCP)、1-234がデータコネクション(60453/TCP)が該当する通信になります。