【情報処理安全確保支援士試験 令和2年度 秋期 午後1 問1 No.2】
情報処理安全確保支援士試験 令和2年度 秋期 午後1 問1
【出典:情報処理安全確保支援士試験 令和2年度 秋期 午後1 問1(一部、加工あり)】
[項番2〜4への対策]
表6中の項番2〜4の指摘を解決せずに無線LANサービスを提供し、①攻撃者が無線LANルータの設定を変更すると、攻撃者が用意したサーバに利用者が接続しても気付かないおそれがある。
Xさんは、項番2については、インターネットから管理者機能のログイン画面にアクセスされないようにするために、無線LANルータのファームウェアを脆弱性が対策された最新のバージョンにアップデートしてもらうことにした。項番3については、管理者機能のパスワードを工場出荷時のパスワードから変更するように運用ルールを変更し、まだ変更していない場合は変更してもらうことにした。項番4については、サーバ証明書が図4に示す条件を満たしているかどうかを検証するように決済アプリ及び店舗アプリを改修した。
下線①について、攻撃者はどの設定項目の内容をどのように変更するか。変更する設定項目を表5の中から選び、記号で答えよ。また、変更後の設定内容を25字以内で述べよ。:い、攻撃者のDNSサーバのIPアドレス
「①攻撃者が無線LANルータの設定を変更すると、攻撃者が用意したサーバに利用者が接続しても気付かないおそれがある」
表5(無線LANルータの管理者機能の設定項目(抜粋))の設定内容で、攻撃者が用意したサーバに接続することになりそうなものは、DNSプロキシの設定「無線LANルータが参照するDNSサーバのIPアドレス」とあることが分かるでしょう。
攻撃者としては、攻撃者が用意したDNSサーバを参照させて、最終的に攻撃者が用意した不正なサーバに接続させることが目的となります。
b:subjectAltname、c:FQDN、d:commonName
サーバ証明書を利用することで、サーバ所有者の情報、暗号化用の鍵の情報、サーバ証明書発行者の署名データなどを入手できて、正規のサーバの運営元であることを確認することができます。
決済アプリや店舗アプリがWebサーバNにアクセスする際に受信するサーバ証明書の検証は、サーバ証明書内のあるデータとWebサーバNのFQDNが一致するかどうかで判断します。
その一つがsubjectの「commonName」で、「commonName」はドメイン名を一つしか登録できませんが、「subjectAltname」の「dNSName」ではドメイン名の別名を複数登録することができます。