平成23年特別 応用情報技術者試験 午後 問9
問9 サーバへのサイバー攻撃対策に関する次の記述を読んで、設問1〜3に答えよ。
D社はおもちゃを扱う中堅商社であり、取扱商品を紹介するためにWebサーバやデータベースサーバ(DBサーバ)などを自社で運用している。D社のネットワーク構成を図1に、各サーバの役割を表1に示す。
あるとき、D社の顧客から”Webサイトが表示されない”と問合せがあった。原因を調査したところ、Webサーバが反応しない状態であったので、Webサイトの運営を一時中断して原因を探った。その結果、各サーバに対して、次のサイバー攻撃が行われていたことが判明した。
【サイバー攻撃1】Webサーバに対して、Webページを表示するためのリクエストが大量に送られ、CPUとメモリの使用率が許容限度を超えてしまっていた。
サイバー攻撃1:DoS攻撃(Denial of Services attack)
ネットワーク経由でサーバやネットワーク機器などに行われる攻撃手法の一つで、通常とは違う大量のリクエストや応答パケットを送信して高負荷状態にさせ、正常稼働できない状態にする攻撃のことです。
【サイバー攻撃2】DBサーバにアクセスするプログラムの不備を利用して、データベース上の情報に不正にアクセスしようとした形跡が、Webサーバにあった。
サイバー攻撃2:SQLインジェクション
Webアプリケーションに対する攻撃手法の一つで、アプリケーションの入力データとしてデータベースへの命令文を構成するデータを混入させ、SQL文を意図的に実行させることでデータベースの破壊や情報搾取を行う攻撃のことです。
【サイバー攻撃3】DNSプログラムが確保したメモリサイズを超えた入力を与えて、管理情報を奪おうとした形跡が、DNSサーバ1にあった。
サイバー攻撃3:バッファオーバフロー攻撃
バッファオーバフローとは、プログラムの動作異常の一つで、データの保管領域であるバッファに想定以上の長さのデータを書き込んでしまい、溢れたデータが隣接する領域を不正に書き換えてしまうことです。これを攻撃に利用して、システムへの侵入や管理者権限の取得を行う攻撃をバッファオーバフロー攻撃といいます。
【サイバー攻撃4】使用可能なサービスを探した形跡が、DMZ内の各サーバにあった。
サイバー攻撃4:ポートスキャン
コンピュータのTCP/UDPポートに接続を試みて、応答によって稼働中のサービスやそのバージョン、OSの種類などの情報を取得する行為のことで、不正アクセスを行うための事前調査や、脆弱性検査などの目的で行われるものです。
D社では判明したサイバー攻撃に対応するために、ファイアウォールの設定を変更するとともに、ネットワーク型IDS(Intrusion Detection System、侵入検知システム)を導入することにした。
〔ファイアウォールの設定変更〕
ファイアウォールの新しいフィルタリングルールを表2に示す。フィルタリングルールの設定は、次の方針で行うことにした。
・インターネット以外のあて先は、ホスト名で指定する。
・必要なサービスだけを通過させる。
なお、表2で用いるフィルタリングルールの記述方法は、次のとおりである。
・通信パケットの送信元、あて先及びサービスの組合せによって、許可又は拒否の動作を指定することができる。
・送信元、あて先には個別のホスト名又は”インターネット”、”DMZ”、”内部LAN1”、”内部LAN2”のネットワーク名又は”すべて”が指定できる。
・サービスにはポート番号(複数指定可)又は”すべて”が指定できる。ポート番号は、SMTPは25、DNSは53、HTTPは80、POP3は110、DBサーバへのアクセスは1521、プロキシサーバ へのアクセスは8080とする。
・項番が小さいものから順に調べて、最初に一致したルールが適用される。
a:プロキシサーバ 、b:8080
送信元が内部LAN2であるPCからの通信を表1から確認します。
PCからは、DNSサーバ2、メールサーバ2、プロキシサーバ への通信があり、表2の項番3はプロキシサーバ に該当することが分かります。
c:DBサーバ 、d:1521
送信元がWebサーバである通信を表1から確認すると、DBサーバへの通信が該当することが分かります。
e:メールサーバ1 、d:25
送信元がインターネットである通信を表1から確認します。
インターネットからは、DNSサーバ1、Webサーバ、メールサーバ1 への通信があり、表2の項番10はメールサーバ1 に該当することが分かります。
〔ネットワーク型IDSの導入〕
D社では、早期にサイバー攻撃を検知するために、ネットワーク型IDSを図1のαの位置に設置した。設置したIDSの概要は、次のとおりである。
・不正侵入の特徴的なパターンをシグネチャとして事前に登録し、検知した脅威の種類を示すシグネチャの識別子、脅威の名称、詳細な通信内容などをログに記録するとともに、管理者あてに警告メールで通知する機能をもつ。
・検知されるサイバー攻撃には、4段階の優先度(優先して対応する必要性の度合い)が付与されている。優先度は、優先度1が最も高く、優先度4が最も低い。
D社で判明したサイバー攻撃1〜4に対応する優先度の初期値は、表3のとおりである。
D社では、IDSの優先度の設定は初期値のままとし、優先度が1、2のものを管理者に警告メールで通知する設定で、IDSの試験運用を開始した。
試験運用を開始してすぐに、IDSから管理者あてに警告メールが大量に送られるようになった。警告メールが多いと、管理者が重要な警告を見落とすおそれがあることから、D社ではIDSの導入効果を維持したまま警告メールの件数を少なくするために、①IDSの設置位置を図1のβの位置に変更した。
【出典:応用情報技術者試験 平成23年度特別午後問9(一部、加工あり)】
警告メールが減少する理由:監視対象がファイアウォールを通過したパケットに限定されるから
IDSの設置位置がαの場合、インターネットからD社あての全てのパケットが対象になります。このパケットにはファイアウォールで許可されず遮断されるものも含まれ、それらは監視対象としては意味のないものになります。
IDSの設置位置をファイアウォールを通過した後のβにすることで、実際にD社のネットワークに到達したパケットが対象になります。
警告メールが最も効果的に減少すると考えられるサイバー攻撃:サイバー攻撃4
ファイアウォールにより遮断される効果があるサイバー攻撃を考えます。
Dos攻撃(サイバー攻撃1)、SQLインジェクション(サイバー攻撃2)は、WebサーバへのHTTPサービスに向けた攻撃です。これはファイアウォールで遮断することができません。
バッファオーバフロー攻撃(サイバー攻撃3)は、DNSサーバ1のDNSサービスに向けた攻撃です。これもファイアウォールで遮断することはできません。
ポートスキャン(サイバー攻撃4)は、ポート番号を順次変更して送信してくるため、ファイアウォールにより遮断されるものが多くなります。