コードサイニング証明書、プロキシ認証情報の窃取、DNSトンネリング【情報処理安全確保支援士試験 令和元年度 秋期 午後1 問2 設問2】

情報処理安全確保支援士試験 令和元年度 秋期 午後1 問2 設問2

【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後1 問2(一部、加工あり)】

【対策の検討】
 K部長は、様々なC&C通信の手法が今後も使われるであろうと想定し、多層防御の考えに基づいて、C&C通信全般及び各手法への対策案を検討するようHさんに指示した。Hさんが検討したC&C通信全般への対策案を図4に、C&C通信の各手法への対策案を表3に示す。


 対策案は社内で承認され、対策が導入された。

④について、ソフトウェアのディジタル署名の検証に利用する証明書を解答群の中から選び、記号で答えよ。:コードサイニング証明書

解答群

  • S/MIME証明書
  • TLSクライアント証明書
  • TLSサーバ証明書
  • コードサイニング証明書

 ディジタル署名は、文書やメッセージなどの送信者の真正性と、改ざんが行われていない完全性を保証するために付与される暗号データのことです。
 ソフトウェアの配布や販売を行う際に、利用者による発行元の確認や改ざんがないことを保証するために付与されたディジタル署名について、検証に利用する証明書のことをコードサイニング証明書といいます。

⑤について、プロキシ認証情報の窃取に使用できない攻撃手法を解答群の中から選び、記号で答えよ。:ゴールデンチケットの窃取

解答群

  • Webブラウザのオートコンプリート情報の窃取
  • キーロガーによる攻撃
  • ゴールデンチケットの窃取
  • 総当たり攻撃
  • 偽のBASIC認証入力フォームの表示とそのフォームへの利用者の誘導
  • ネットワーク盗聴

 ゴールデンチケットとは、WindowsでサーバやPCにアクセスできるためのチケットのうち、管理者権限を持つものをいいます。
 ゴールデンチケットを持っていても、直接的には、プロキシ認証情報の窃取にはつながらないでしょう。
 その他の選択肢は、画面やキー入力、推測、盗聴など、いずれもプロキシ認証情報の窃取に使用できる攻撃です。

⑥について、表1のフィルタリングルールを一つ変更することによって対応した。変更すべきフィルタリングルールを項番で答えよ。また、変更後のフィルタリングルールについて、送信元、宛先、サービス、動作を答えよ。:項番3、(送信元)DMZ、(宛先)インターネット、(サービス)DNS、(動作)許可

 該当するC&C通信の手法である「マルウェアがパブリックDNSサービスを利用して、C&C通信を行う」に関するフィルタリングルールは、項番3の「(送信元)全て、(宛先)インターネット、(サービス)DNS、(動作)許可」であり、送信元を必要最小限にすれば良さそうです。
 インターネットのDNSサービスを利用するのは、図1に「外部DNSサーバは、メールサーバ又はプロキシサーバからDNSクエリを受け、インターネット上の権威DNSサーバと通信し、名前解決を行うフルサービスリゾルバとして機能する」とあるように、外部DNSサーバと分かります。
 したがって、フィルタリングルールの送信元を外部DNSサーバが設置されているDMZとすれば良いでしょう。

b:権威DNSサーバ、c:外部DNSサーバ

 前問のとおり、DNSによる通信を利用すれば、マルウェアがインターネットのC&Cサーバと通信することが想定できます。
 マルウェアが外部DNSサーバにDNSクエリを送信すると、外部DNSサーバはインターネット上の権威DNSサーバと通信することになります。
 したがって、攻撃者は権威DNSをC&Cサーバとしてインターネット上に用意しておき、マルウェアが外部DNSサーバに攻撃用ドメインについてのDNSクエリを送信するとすれば良さそうです。

d:再帰的クエリ

 DNSクエリのうち、DNSクライアントがフルサービスリゾルバに送信するのは再帰的クエリといい、 フルサービスリゾルバが権威DNSサーバに送信するのは非再帰的クエリといいます。
 この場合、DNSクライアントはマルウェア、フルサービスリゾルバは外部DNSサーバになります。

e:特定のドメインに対する多数のDNSクエリの発生

 「大量の情報を持ち出す場合」に関して、図2に「窃取する情報を持ち出す際には、まず、窃取する情報を暗号化し、一定のサイズに分割する。その後、C&C通信を使用して持ち出す」とあります。
 したがって、大量の情報の場合には分割した多数のデータとなるため、多数のDNSクエリが特定のドメインに対して発生することになります。