不正無線LANアクセスポイント経由で誘導される手口【情報処理安全確保支援士試験 平成31年度 春期 午後1 問2 No.1】
情報処理安全確保支援士試験 平成31年度 春期 午後1 問2 No.1
【出典:情報処理安全確保支援士試験 平成31年度 春期 午後1問2(一部、加工あり)】
問2 クラウドサービスのセキュリティに関する次の記述を読んで、設問1,2に答えよ。
U社は、東京に本社をもつ従業員数1,000名の商社である。複数の海外拠点を設置し、海外向けに営業展開している。海外拠点の従業員数は1拠点当たり十数名ほどである。
本社の情報システムは、本社の情報システム部が管理しており、各海外拠点の情報システムは、現地の情報システム担当者が管理している。電子メール(以下、メールという)の送受信には、本社ではオンプレミス環境を導入しているが、海外拠点では、P社が提供するクラウドサービス型Webメールサービス(以下、メールサービスPという)を利用している。海外拠点では、全ての従業員にスマートフォンとノートPCを貸与している。
【セキュリティインシデント発生】
1月10日、送信者が海外拠点Qの従業員Sさんのメールアドレスである不審なメールを受け取ったという連絡が、Sさんとやり取りのあった本社の従業員から情報システム部にあった。情報システム部では、情報処理安全確保支援士(登録セキスペ)であるTさんが、調査を担当することになった。Tさんが当該メールのヘッダ情報を確認したところ、メールサービスPから送信されたものであった。
海外拠点Qの情報システム担当者であるYさんによれば、1月10日にSさんのアカウントからの不審なメール送信と考えられる履歴が複数残っているとのことであった。そこで、Tさんは、YさんにメールサービスPのSさんのアカウントを一時的に無効化するよう依頼した。また、会社から貸与されたSさんのスマートフォン及びノートPC並びにSさんのメールボックスには重要情報がなかったことを確認した。Tさんが、海外拠点Qの全従業員のアカウントについて、メールサービスPに残っていた全てのメール送信履歴をYさんに確認してもらったところ、Sさんのアカウント以外に不審なメールの送信履歴はないとのことであった。
【経緯の調査】
Tさんは、メールサービスPに残っていた海外拠点Qの全従業員のアカウントのメール送信履歴及び監査ログ、並びにSさんへのヒアリングの結果をYさんから送付してもらい、調査した。調査結果を図1に示す。
Tさんが調べたところ、メールサービスPはHTTP over TLSでサービスが提供されている。HTTPでアクセスした場合はHTTP over TLSのURLにリダイレクトされる仕様になっており、HSTS(HTTP Strict Transport Security)は実装されていない。
こうしたことから、TさんはSさんが不正アクセスを受けたと確信し、図2に示す手口(以下、手口Gという)を使って、攻撃者がメールサービスPのSさんの利用者IDで不正アクセスしたと推測した。
Tさんは、今回のセキュリティインシデントの調査結果を情報システム部長に報告した。情報システム部長は、会社から貸与されたノートPCをU社以外の無線LANに接続してはならないというルールの全社への周知及びメールサービスPの認証方式の強化をTさんに指示した。
①について、攻撃者が用意した無線LANアクセスポイントには何が設定されていたと考えられるか。設定を30字以内で述べよ。:ホテルWi-Fiと同じSSIDと事前共有鍵
無線LANについて、図1(調査結果(抜粋))に「ホテルWi-FiのSSIDは、宿泊客で共通であり、そのSSIDと事前共有鍵はロビーなどの共有スペースに張り出されていた。」とあります。
また、図2(手口G)に「SさんはPC-SをホテルWi-Fiに接続しようとして、攻撃者が用意した無線LANアクセスポイントに接続してしまった。」とあります。
これらの情報から、攻撃者がSSIDと事前共有鍵(パスワード)を知り得る状況であり、それを攻撃者が用意した無線LANアクセスポイントに設定したことがわかります。
a:メールサービスP、b:攻撃者が用意したWebサーバ
DNSサーバに関連する記述として、図2(手口G)に「Sさんは、WebブラウザからメールサービスPにアクセスしたつもりだったが、実際にはWebブラウザは攻撃者が用意したWebサーバに接続していた」とあります。
攻撃者は、WebブラウザのアドレスバーにメールサービスPのFQDNが入力されてアクセスされた時に、攻撃者が用意したWebサーバにアクセスするように仕掛けます。
それには、DNSサーバでメールサービスPと攻撃者が用意したWebサーバを紐づければいいのです。
②について、この時、サーバ証明書が信頼できない旨のエラーが表示されなかったのはなぜか。メールサービスPにHSTSが実装されていないことを踏まえ、理由を20字以内で述べよ。:HTTPで接続が開始されたから
サーバ証明書が関連する記述として、「Tさんが調べたところ、メールサービスPはHTTP over TLSでサービスが提供されている。HTTPでアクセスした場合はHTTP over TLSのURLにリダイレクトされる仕様になっており、HSTS(HTTP Strict Transport Security)は実装されていない。」とあります。
HSTSとは、HTTP over TLSでサービスが提供されているサイトにHTTPでアクセスしたブラウザに対し、次回からHTTPSでアクセスするよう通知する仕組みです。
HSTSに対応したブラウザは、次回から自動的にHTTPSでアクセスするように動作します。
問題文から、メールサービスPはHSTSが実装されておらず、HTTPでアクセスした場合は、サーバ側で自動的にHTTP over TLSのURLにリダイレクトされることが分かります。
SさんがHTTPSで攻撃者のWebサーバにアクセスしていれば、サーバ証明書が信頼できない旨のエラー表示が出たはずです。
これらの状況を踏まえると、SさんはHTTPで攻撃者のWebサーバにアクセスして、サーバ証明書の検証が行われない状態であったと思われます。
Sさんは、メールサービスPを利用する際、普段からアドレスバーに入力してアクセスし、その際、http:としていたことが想定されます。