HTTPS通信におけるプロキシサーバのブラックリスト機能の効果・窃取情報の社外への通信経路【情報処理安全確保支援士試験 平成31年度 春期 午後2 問1 設問5】

情報処理安全確保支援士試験 平成31年度 春期 午後2 問1 設問5

問1 マルウェア感染と対策に関する次の記述を読んで、設問1〜6に答えよ。

(略)

f:id:aolaniengineer:20200515162314p:plain

(略)

f:id:aolaniengineer:20200515162609p:plain

f:id:aolaniengineer:20200515162630p:plain

(略)

【不審なW-APの発見と対策

 無線LAN経由で侵入された可能性のある時期には、タブレットPCはKRACKsへの対策がされていなかったので、P君は、KRACKsによる攻撃を受けた可能性を調査する必要があると考えた。そこでP君は、W主任に相談して、攻撃者が不正なW-APを設置していないか、N社の周囲の無線状況を調査した。その結果、総務部のW-APと同一のSSIDが設定された不審なW-APが、N社敷地外にあることを発見し、KRACksによる攻撃を受けたと結論付けた。

 そこで、W主任は、KRACksによってWPA2の通信が解読された場合でも被害を防ぐ対策として、イントラポータルサーバへのアクセスをHTTPSに変更する案を提案した。

 

【L7FW機能の実効性の確認

 一方、R課長は、FW1にはL7FW機能があることを思い出した。しかし、今回のインシデントでは、FW1が、マルウェアによる通信を不正な通信として検出した形跡はなく、通過させていた。この件について、R課長はP君に調査を指示した。

 P君が、プロキシサーバ のログを分析したところ、4月10日の10:00以降、問合せ用PCが発信元であるHTTPSと思われる通信が、通常よりも大幅に増加していた。これらの通信の大半は、表3のC&CサーバのIPアドレスを含む不審なIPアドレスへの通信であったことから、マルウェアによるものと推測された。一方、問合せ用PCが発信元であるHTTP通信は、ほとんどなかった。

 続いてP君が、FW1の機能の設定状態を確認したところ、L7FW機能は有効化されていたが、HTTPS通信によって送受信されるデータを復号する機能(以下、HTTPS復号機能という)はライセンスがないので有効化されていなかった。この状態では、HTTPS通信に対してL7FW機能は効果がないことが分かった。P君は、これら一連の内容をR課長に報告した。

 R課長は、インシデントの調査を終了し、W-APのIEEE802.1X認証の方式をEAP-TLSに変更する案と、イントラポータルサーバへのアクセスをHTTPSに変更する案を実施するとともに、残りの対策の検討に移ることにした。

【未知マルウェア対策の改良】

 R課長は、今後、HTTPS通信を利用するマルウェアが増えると思われるので、社内PCについて、何らかの対策を打つ必要があると考え、W主任に検討を指示した。

 W主任は、追加の費用が発生しない範囲で実施できる対策として、プロキシサーバがもつ、特定のURLへの接続を禁止するブラックリスト機能の適用を検討した。HTTP通信の場合、プロキシサーバでは内容を(f:読み取る)ことができる。しかし、HTTPS通信の場合、社内PCからプロキシサーバにCONNECTメソッドによって接続要求を送る時点では平文でWebサーバの(g:ホスト)名とポート番号が渡されるが、社内PCとWebサーバ間でTLSセッションが成立して暗号通信路が確立した後は、プロキシサーバでは内容を(f:読み取る)ことはできない。そのため、HTTPS通信の場合、実質的にブラックリストに登録できるのが、URLの(g:ホスト)部とポート番号部だけであり、(h:パス)部は指定できないことや、そもそもブラックリストに登録すべきURL情報が必要なタイミングで入手できないことから効果が期待できないとの結論になった。

f:読み取る

 HTTP通信とHTTPS通信の違いによりプロキシサーバでできることと、できないことが問われています。

 HTTPS(HTTP over SSL/TLS)はHTTP通信を暗号化して通信するものです。

 プロキシサーバは、社内からインターネットへの通信内容を読み取り、通信を制御したりログに残したりしますので、通信内容が暗号化されているとこれらの機能が実行できません。

 したがって、「プロキシサーバは、HTTP通信の場合は内容を読み取ることができ、HTTPS通信の場合は内容を読み取ることができません」となります。

g:ホストh:パス

 前問の通り、プロキシサーバは暗号化データは読み取ることができません。

 そのため、HTTPS通信の場合は、以下のようなやり取りを行います。

  1. クライアントはプロキシサーバにHTTP通信の接続要求としてCONNECTメソッドを送信する。送信内容はWebサーバのホスト名とポート番号。
  2. プロキシサーバはWebサーバとの間にHTTPコネクションを確立する。
  3. クライアントはプロキシサーバ経由でWebサーバとHTTPSコネクションを確立する。
  4. クライアントがWebサーバとHTTPSコネクション上でデータ通信する。

したがって、「HTTPS通信の場合、社内PCからプロキシサーバにCONNECTメソッドによって接続要求を送る時点では平文でWebサーバの(g:ホスト)名とポート番号が渡される」、「HTTPS通信の場合、実質的にブラックリストに登録できるのが、URLの(g:ホスト)部とポート番号部だけであり、(h:パス)部は指定できない」となります。

 そこで、追加の費用の発生も視野に入れた対策として、W主任は、ライセンスの購入によるHTTPS復号機能の有効化(以下、対策1という)及び社内PCのマルウェア対策の強化(以下、対策2という)の二つを考えた。それぞれの対策の内容は、表4のとおりである。

f:id:aolaniengineer:20200517091802p:plain

 W主任は、⑤マルウェアが窃取した情報を社内PCから社外に送信する経路がFW1を経由したHTTPS以外にもあり、対策1とL7FW機能だけでは全ての経路を検査することはできないので、対策2を併せて実施する必要があると考え、P君に対策1及び対策2の検討を指示した。

【出典:情報処理安全確保支援士試験 平成31年度 春期 午後2問1(一部、加工あり)】

⑤について、マルウェアが窃取した情報を社外に送信する方法が複数考えられる。そのうち二つを挙げ、それぞれ35字以内で具体的に述べよ。:攻撃者が用意したW-APに接続し、情報を送信する/内部メールサーバを利用して攻撃者にメールを送信する。

 「FW1を経由したHTTPS以外」とのことなので、「FW1」を経由しないものと、「HTTPS以外」のものとで考えてみます。

 「FW1」を経由しないものとしては、【不審なW-APの発見と対策】に、「総務部のW-APと同一のSSIDが設定された不審なW-APが、N社敷地外にあることを発見し、KRACksによる攻撃を受けた」とあります。

 このことから、攻撃者が用意したW-AP経由で送信する経路が考えられます。

  「HTTPS以外」のものとしては、表1(FW1のルール)と表2(FW2のルール)を確認すると以下の通信が該当します。

  • 外部メールサーバ→インターネット:SMTP、SMTPS
  • 内部メールサーバ→外部メールサーバ:SMTP
  • 内部IP→内部メールサーバ:代表HTTP

 このことから、内部メールサーバを利用したメール通信の経路が考えられます。

Follow me!