HTTPS通信におけるプロキシサーバのブラックリスト機能の効果・窃取情報の社外への通信経路【情報処理安全確保支援士試験 平成31年度 春期 午後2 問1 設問5】

情報処理安全確保支援士試験 平成31年度 春期 午後2 問1 設問5

【出典:情報処理安全確保支援士試験 平成31年度 春期 午後2問1(一部、加工あり)】

【未知マルウェア対策の改良】
 R課長は、今後、HTTPS通信を利用するマルウェアが増えると思われるので、社内PCについて、何らかの対策を打つ必要があると考え、W主任に検討を指示した。
 W主任は、追加の費用が発生しない範囲で実施できる対策として、プロキシサーバがもつ、特定のURLへの接続を禁止するブラックリスト機能の適用を検討した。HTTP通信の場合、プロキシサーバでは内容を(f)ことができる。しかし、HTTPS通信の場合、社内PCからプロキシサーバにCONNECTメソッドによって接続要求を送る時点では平文でWebサーバの(g)名とポート番号が渡されるが、社内PCとWebサーバ間でTLSセッションが成立して暗号通信路が確立した後は、プロキシサーバでは内容を(f)ことはできない。そのため、HTTPS通信の場合、実質的にブラックリストに登録できるのが、URLの(g)部とポート番号部だけであり、(h)部は指定できないことや、そもそもブラックリストに登録すべきURL情報が必要なタイミングで入手できないことから効果が期待できないとの結論になった。
 そこで、追加の費用の発生も視野に入れた対策として、W主任は、ライセンスの購入によるHTTPS復号機能の有効化(以下、対策1という)及び社内PCのマルウェア対策の強化(以下、対策2という)の二つを考えた。それぞれの対策の内容は、表4のとおりである。


 W主任は、⑤マルウェアが窃取した情報を社内PCから社外に送信する経路がFW1を経由したHTTPS以外にもあり、対策1とL7FW機能だけでは全ての経路を検査することはできないので、対策2を併せて実施する必要があると考え、P君に対策1及び対策2の検討を指示した。

f:読み取る

 HTTP通信とHTTPS通信の違いによりプロキシサーバでできることと、できないことが問われています。
 HTTPS(HTTP over SSL/TLS)はHTTP通信を暗号化して通信するものです。
 プロキシサーバは、社内からインターネットへの通信内容を読み取り、通信を制御したりログに残したりしますので、通信内容が暗号化されているとこれらの機能が実行できません。
 したがって、「プロキシサーバは、HTTP通信の場合は内容を読み取ることができ、HTTPS通信の場合は内容を読み取ることができません」となります。

g:ホスト、h:パス

 前問の通り、プロキシサーバは暗号化データは読み取ることができません。
 そのため、HTTPS通信の場合は、以下のようなやり取りを行います。

  1. クライアントはプロキシサーバにHTTP通信の接続要求としてCONNECTメソッドを送信する。送信内容はWebサーバのホスト名とポート番号。
  2. プロキシサーバはWebサーバとの間にHTTPコネクションを確立する。
  3. クライアントはプロキシサーバ経由でWebサーバとHTTPSコネクションを確立する。
  4. クライアントがWebサーバとHTTPSコネクション上でデータ通信する。

 したがって、「HTTPS通信の場合、社内PCからプロキシサーバにCONNECTメソッドによって接続要求を送る時点では平文でWebサーバの(g:ホスト)名とポート番号が渡される」、「HTTPS通信の場合、実質的にブラックリストに登録できるのが、URLの(g:ホスト)部とポート番号部だけであり、(h:パス)部は指定できない」となります。

⑤について、マルウェアが窃取した情報を社外に送信する方法が複数考えられる。そのうち二つを挙げ、それぞれ35字以内で具体的に述べよ。:攻撃者が用意したW-APに接続し、情報を送信する/内部メールサーバを利用して攻撃者にメールを送信する。

 「FW1を経由したHTTPS以外」とのことなので、「FW1」を経由しないものと、「HTTPS以外」のものとで考えてみます。
 「FW1」を経由しないものとしては、【不審なW-APの発見と対策】に、「総務部のW-APと同一のSSIDが設定された不審なW-APが、N社敷地外にあることを発見し、KRACksによる攻撃を受けた」とあります。
 このことから、攻撃者が用意したW-AP経由で送信する経路が考えられます。
 「HTTPS以外」のものとしては、表1(FW1のルール)と表2(FW2のルール)を確認すると以下の通信が該当します。

  • 外部メールサーバ→インターネット:SMTP、SMTPS
  • 内部メールサーバ→外部メールサーバ:SMTP
  • 内部IP→内部メールサーバ:代表HTTP

 このことから、内部メールサーバを利用したメール通信の経路が考えられます。