情報処理安全確保支援士試験 午後問題から学ぶ【HTTPS通信のマルウェアへのプロキシサーバ対策】

情報処理安全確保支援士試験の午後問題には、情報セキュリティに関する最新の動向を反映した題材が採用されています。

キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、情報処理安全確保支援士試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習していきましょう。

今回は、「無線LANを侵入経路としたマルウェアへの感染」を題材にした「HTTPS通信のマルウェアへのプロキシサーバ対策」を解説していきます。

「HTTPS通信のマルウェアへのプロキシサーバ対策」とは

HTTPS通信をプロキシサーバ経由で行う仕組み

HTTPS(HTTP over SSL/TLS)とは、Webのデータ転送に用いるHTTPがTLSで暗号化されているもので、WebブラウザとWebサーバ間の通信が通信経路上で盗聴されることを防ぐことができます。

プロキシサーバは、HTTP通信をクライアントに代わって代理でWebサーバとやり取りするものです。具体的には、クライアントのリクエストのペイロードを見て、ページのパス名をWebサーバに渡します。

例えば、「http://www.aolaniengineer.com/entry/xxx」の「/entry/xxx」の部分がパス名で、これはペイロードを見ています。

これが、HTTPSの場合はペイロードが暗号化されているので、プロキシサーバでペイロードを見ることができません

そこで、HTTPSの場合は、クライアントはプロキシサーバにCONNECTメソッドを使って、HTTPS通信をトンネリングするように指示することができます。

クライアントはプロキシサーバにHTTPのCONNECTメソッドでホスト名(FQDN)を渡して、プロキシサーバがWebサーバとHTTPコネクションを張りますこのHTTPコネクションの上に、TLSを使ってHTTP通信させることでHTTPS通信を実現します。

HTTPS通信を使うマルウェア

HTTPSによるセキュリティ効果は利用者にとって安心できるテクノロジーですが、反面、攻撃者にとっても好都合な場合があります。

  攻撃者にとって攻撃を仕掛ける時には、その挙動に気付かれないようにしなくてはならず、その隠れ蓑としてHTTPS通信は都合がいいのです。

HTTPS通信でマルウェアや不正コードを紛れ込ませれば、利用者側で検知することが難しくなるからです。

例えば、マルウェアに感染した組織内のPCが外部にある攻撃者のC&Cサーバと通信するケース。HTTPS通信でやり取りすれば、その中身の挙動から不正を検知することは難しくなります。

HTTPS通信のマルウェアへのプロキシサーバ対策

上記の通り、プロキシサーバでHTTPS通信の内容で認識できるのは、ホスト名(とポート番号)のみであり、ペイロードに記載されたパス名は認識できません。

したがって、プロキシサーバでブラックリストなどでアクセス制限を仕掛ける場合、URLのホスト名(とポート番号)でのみ指定することしかできません。

その他の対策としては、プロキシサーバを利用する際の利用者認証、CONNECTメソッドを使う場合にSSL/TLS以外の通信を遮断するなどがあります。

平成31年度春期情報処理安全確保支援士試験での「HTTPS通信のマルウェアへのプロキシサーバ対策」

「無線LANを侵入経路としたマルウェアへの感染」を題材に、マルウェアの調査と対策について出題されました。

それでは「HTTPS通信のマルウェアへのプロキシサーバ対策」の問題となった部分を見ていきましょう。

 〔未知マルウェア対策の改良〕

 R課長は、今後、HTTPS通信を利用するマルウェアが増えると思われるので、社内PCについて、何らかの対策を打つ必要があると考え、W主任に検討を指示した。

 W主任は、追加の費用が発生しない範囲で実施できる対策として、プロキシサーバがもつ、特定のURLへの接続を禁止するブラックリスト機能の適用を検討した。HTTP通信の場合、プロキシサーバでは内容を(f)ことができる。しかし、HTTPS通信の場合、社内PCからプロキシサーバにCONNECTメソッドによって接続要求を送る時点では平文でWebサーバの(g)名とポート番号が渡されるが、社内PCとWebサーバ間でTLSセッションが成立して暗号通信路が確立した後は、プロキシサーバでは内容を(f)ことはできない。そのため、HTTPS通信の場合、実質的にブラックリストに登録できるのが、URLの(g)部とポート番号部だけであり、(h)部は指定できないことや、そもそもブラックリストに登録すべきURL情報が必要なタイミングで入手できないことから効果が期待できないとの結論になった。

設問5 〔未知マルウェア対策の改良〕について、(1)〜(3)に答えよ。

(1)本文中の(f)に入れる適切な字句を、10字以内で答えよ。

(2)本文中の(g)、(h)に入れる適切な字句を、解答群の中から選び記号で答えよ。

   解答群

    ア インデックス  イ サブジェクト  ウ シーケンス

    エ ネットワーク  オ パス      カ ホスト

正解 

 (1)読み取る

 (2)g、h:

【出典:情報処理安全確保支援士試験 平成31年度春期午後2問1(一部、省略部分あり)】

設問5(1)

HTTP通信とHTTPS通信の違いによりプロキシサーバでできることと、できないことが問われています。

HTTPS(HTTP over SSL/TLS)はHTTP通信を暗号化して通信するものです。

プロキシサーバは、社内からインターネットへの通信内容を読み取り、通信を制御したりログに残したりしますので、通信内容が暗号化されているとこれらの機能が実行できません。

設問5(2)

前問の通り、プロキシサーバは暗号化データは読み取ることができません。

そのため、HTTPS通信の場合は、以下のようなやり取りを行います。

  • クライアントはプロキシサーバにHTTP通信の接続要求としてCONNECTメソッドを送信する。送信内容はWebサーバのホスト名とポート番号。
  • プロキシサーバはWebサーバとの間にHTTPコネクションを確立する。
  • クライアントはプロキシサーバ経由でWebサーバとHTTPSコネクションを確立する。
  • クライアントがWebサーバとHTTPSコネクション上でデータ通信する。 

設問5(3)

「FW1を経由したHTTPS以外」とのことなので、「FW1」を経由しないものと、「HTTPS以外」のものとで考えてみます。

「FW1」を経由しないものとしては、〔不審なW-APの発見と対策〕に以下の記述があります。

その結果、総務部のW-APと同一のSSIDが設定された不審なW-APが、N社敷地外にあることを発見し、KRACksによる攻撃を受けたと結論付けた。

これを参考に、攻撃者が用意したW-AP経由で送信する経路が考えられます。

  「HTTPS以外」のものとしては、表1「FW1のルール」と表2「FW2のルール」を確認すると以下の通信が該当します。

外部メールサーバ→インターネット:SMTP、SMTPS

内部メールサーバ→外部メールサーバ:SMTP

内部IP→内部メールサーバ:代表HTTP

これを参考に、内部メールサーバを利用したメール通信の経路が考えられます。