情報処理安全確保支援士試験の午後問題には、情報セキュリティに関する最新の動向を反映した題材が採用されています。
キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、情報処理安全確保支援士試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習していきましょう。
今回は、「無線LANを侵入経路としたマルウェアへの感染」を題材にした「IEEE802.1X」を解説していきます。
IEEE802.1Xとは
IEEE802.1Xとは、有線LAN、無線LANにおけるユーザ認証の規格の一つです。
動作の流れ
- 端末が通信を開始すると、ネットワークの末端にあるLANスイッチ、アクセスポイントなどが端末に対して認証を要求する
- 端末は認証に必要な情報(ID、パスワードなど)を送信し、LANスイッチ、アクセスポイントなどが認証サーバに問合せを行う
- 認証に成功すると、LANスイッチ、アクセスポイントなどが通信を許可する
構成要素
- サプリカント(Supplicant):クライアントにインストールするソフトウェア。最近のPCには標準搭載されている
- 認証装置(Authenticator):サプリカントと認証サーバの仲介役となるネットワーク機器。認証結果を受けて、ネットワークへのアクセス制御を行う
- 認証サーバ:認証を行うRadiusサーバ
認証プロトコル(通信手順)
EAP(Extensible Authentication Protocol)というデータリンク層の上位層で動作するプロトコルが、各種の認証プロトコルを仲介するプロトコルスタックになります。
認証プロトコルには、TLS、MD5、TTLS、PEAP、LEAP、EAP-FASTなどがあります。実際によく使われているのは、TLSとPEAPになります。
ちなみに、サプリカントから送信されるEAPメッセージはIP層ではありません。EAPメッセージを受信した認証装置がIPパケットに変換して認証サーバに送信する仕組みになっています。
EAP-PEAP(Extensible Authentication Protocol Protected Extensible Authentication)
クライアント認証に「ID・パスワード」、サーバ認証に「証明書」を用いる方式。
EAP-TLS(Extensible Authentication Protocol Transport Layer Security)
クライアント認証に「証明書」、サーバ認証に「証明書」を用いる方式。
平成31年度春期情報処理安全確保支援士試験での「IEEE802.1X」
「無線LANを侵入経路としたマルウェアへの感染」を題材に、マルウェアの調査と対策について出題されました。
それでは「IEEE802.1X」の問題となった部分を見ていきましょう。
総務部では、無線LAN接続型のタブレットPCを導入している。無線LANの暗号化では、WPA2を使用している。W-APでは、不正な端末の接続を防ぐための対策として、次の機能を使用している。
・登録済みMACアドレスをもつ端末だけを接続可能とする接続制御
・総務部に所属する従業員の利用者IDだけに接続を許可するIEEE 802.1X認証
IEEE 802.1X認証では、認証サーバと連携して、利用者IDとパスワードを使用している(EAP-PEAP)。
〔無線LANの脆弱性〕
P君は、総務部のW-APは、MACアドレスによる接続制御をしているのに、攻撃者がなぜ接続できたのか疑問に思い、W主任に聞いてみた。W主任は、WPA2を使用していても、無線LANの通信が傍受されてしまうとBさんが利用しているタブレットPCのMACアドレスを攻撃者が知ることができることと、攻撃者が、自分の無線LAN端末を総務部のW-APに接続可能にする方法をP君に説明した。
また、IEEE 802.1X認証で使用するBさんの利用者IDとパスワードを攻撃者が入手する方法について、次のように話した。
W主任:最近、KRACKsと呼ばれるWPA2への攻撃手法が報告され、攻撃用のサンプルコードも公表されている。この攻撃を高い確率で成功させるためには、攻撃者は不正なW-APを設置し、正規のW-APと端末との間の中間者として動作させる必要がある。この攻撃が成功すると、WPA2で暗号化したパケットを解読されるおそれがある。N社は、4月10日より前に、この攻撃に遭っていながら、攻撃に気付かなかったのではないか。
P君は、KRACksについて調べてみた。その結果、KRACKsは、攻撃者が特定の通信に介入することによって、WPA-TKIP及びWPA2が使用するAES-CCMPというプロトコルの暗号を解読するものであることが分かった。解読の手段は、AES-CCMPの場合、CTRモードにおける初期カウンタ値を強制的に再利用させるものであった。AES-CCMPは、AESというブロック暗号とCTRモードという暗号モードをベースとしている。
〔暗号モード〕
ここまで調べたP君は、イントラポータルサーバへのアクセスはHTTPであり、かつ、ベーシック認証を使用しているので、WPA2の通信を解読されると利用者IDとパスワードの流出に直結していしまうことに気付いた。
〔不審なW-APの発見と対策〕
無線LAN経由で侵入された可能性のある時期には、タブレットPCはKRACKsへの対策がされていなかったので、P君は、KRACKsによる攻撃を受けた可能性を調査する必要があると考えた。そこでP君は、W主任に相談して、攻撃者が不正なW-APを設置していないか、N社の周囲の無線状況を調査した。その結果、総務部のW-APと同一のSSIDが設定された不審なW-APが、N社敷地外にあることを発見し、KRACksによる攻撃を受けたと結論付けた。
そこで、W主任は、KRACKsによってWPA2の通信が解読された場合でも被害を防ぐ対策として、イントラポータルサーバへのアクセスをHTTPSに変更する案を提案した。
〔L7FW機能の実効性の確認〕
一方、R課長は、FW1にはL7FW機能があることを思い出した。しかし、今回のインシデントでは、FW1が、マルウェアによる通信を不正な通信として検出した形跡はなく、通過させていた。この件について、R課長はP君に調査を指示した。
P君が、プロキシサーバのログを分析したところ、4月10日の10:00以降、問合せ用PCが発信元であるHTTPSと思われる通信が、通常よりも大幅に増加していた。これらの通信の大半は、表3のC&CサーバのIPアドレスを含む不審なIPアドレスへの通信であったことから、マルウェアによるものと推測された。一方、問合せ用PCが発信元であるHTTP通信は、ほとんどなかった。
続いてP君が、FW1の機能の設定状態を確認したところ、L7FW機能は有効化されていたが、HTTPS通信によって送受信されるデータを復号する機能(以下、HTTPS復号機能という)はライセンスがないので有効化されていなかった。この状態では、HTTPS通信に対してL7FW機能は効果がないことが分かった。P君は、これら一連の内容をR課長に報告した。
R課長は、インシデントの調査を終了し、W-APのIEEE802.1X認証の方式をEAP-TLSに変更する案と、イントラポータルサーバへのアクセスをHTTPSに変更する案を実施するとともに、残りの対策の検討に移ることにした。
【出典:情報処理安全確保支援士試験 平成31年度春期午後2問1(一部、省略部分あり)】