【情報処理安全確保支援士試験 令和3年度 春期 午後2 問1 No.4】
情報処理安全確保支援士試験 令和3年度 春期 午後2 問1
【出典:情報処理安全確保支援士試験 令和3年度 春期 午後2 問1(一部、加工あり)】
[新たなインシデントの発生と対応]
N社インシデント対応ポリシの運用を開始してから約1か月後の11月22日、V社は、不審な利用者アカウント(以下、AC-Xという)がR1サーバに作成されていることを見付け、N-CSIRTに報告した。G部長は、インシデントであると判断し、初期調査をHさんに指示した(以下、このインシデントをインシデントQという)。Hさんは、V社と協力してインシデントQについて調査した。その結果を図8に示す。
図9は、FW2において、AC-Xが作成されてから発見されるまでの4日間、通信に成功した全てのパケットを対象とし、通信方向、接続元及び宛先のIPアドレス、サービスの組合せで通信量を集計し、降順に並べたものである。Hさんは、⑤図9を基に、不正ログインを行ったと推測される接続元IPアドレスを割り出した。
Hさんから調査結果について報告を受けたG部長は、R1サーバの隔離を指示した上で、インシデントQは重大なインシデントの可能性があると判断し、PTを発足させた。PTは専門事業者の支援を受けて調査を行い、R1サーバには、脆弱性L及び脆弱性Mが残っていることが判明した。脆弱性Lと脆弱性Mの概要、及びそれぞれの対応を見送った経緯とその理由を表3に、PTによる調査結果を図10に示す。
この報告を受けたG部長は、幸いにも被害が限定的であり、顧客への影響が全くないことから、インシデントQについて情報開示する必要はないと判断し、情報セキュリティ委員会に報告し承認を得た。
その後、G部長は、利用者アカウントのパスワード変更、R1サーバの復旧、脆弱性L及び脆弱性Mを解消する脆弱性修正プログラムの適用、⑨SSH接続及びHTTP接続を使った攻撃から開発用システムを保護するための措置などを指示した。
下線⑤について、図9中の接続元IPアドレスのうち、不正ログインを行ったと推測される接続元IPアドレスは幾つか。個数を答えよ。:5
「Hさんは、⑤図9を基に、不正ログインを行ったと推測される接続元IPアドレスを割り出した。」
インシデントの内容は、R1サーバに不審な利用者アカウント(AC-X)が作成され、AC-Xを利用して不正ログインが行われていたということです。
そして、この不正ログインは、N社でもV社でもない複数のIPアドレスからのSSH接続で行われています。
まずは、インシデントの対象機器と正規の通信などを問題文から確認していきましょう。
図2(N社が利用するシステム及びネットワークの概要)の注記4にN社とV社に割り当てられたグローバルIPアドレスの範囲が記載されています。
- N社 :x1.y1.z1.0/28 →具体的なIPアドレスは、x1.y1.z1.0〜15
- V社 :x2.y2.z2.128/30 →具体的なIPアドレスは、x2.y2.z2.128〜131
また、図3(開発用システムの概要(抜粋))に、以下の記述があります。
- N社及びV社はインターネットを介して、HTTP及びHTTPSを用いた接続(以下、HTTP接続という)を行い、システムのテストを行う。
- N社及びV社はインターネットを介して、R1サーバにSSH接続を行い、開発業務を行う。
- インターネットからのインバウンド通信は、FW2において、各サーバへのSSH接続及びHTTP接続を許可し、その他の通信を遮断している。
- R1サーバの”/etc/hosts.allow”ファイルの設定において、SSH接続の接続元をN社とV社に限定している。このファイルの変更には、管理者権限が必要である。
- SSH接続でR1サーバにログインするための認証情報は、”/etc/shadow”ファイルに格納されている。具体的には、利用者アカウント、使用者アカウントごとに異なるソルト値、及びソルト値と平文パスワードから計算したハッシュ値が含まれている。
これらの情報を前提に、図9(FW2での通信量の集計)を確認します。
サービスがSSHで、N社とV社以外の接続元IPアドレスであるのは、「x1.y1.z1.100」「x2.y2.z2.60」「x1.y1.z1.240」「x2.y2.z2.58」「a2.b2.c2.42」の5個になります。
下線⑥について、脆弱性Mだけを悪用しても”/etc/shadow”ファイルを参照できない理由を、”/etc/shadow”ファイルの性質を含めて、70字以内で述べよ。:脆弱性Mを悪用しても一般利用者権限での操作であるが、”/etc/shadow”ファイルの閲覧には管理者権限が必要であるから
「⑥脆弱性Lと脆弱性Mを悪用して、”/etc/shadow”ファイルを参照した。」
”/etc/shadow”ファイルの性質については、前問の記述のとおり、利用者アカウントに関する重要な情報であることが分かります。
このような重要な情報にアクセスするのに、一般的には管理者権限を有するアカウントのみアクセス可能とする措置が取られます。
これを前提に脆弱性Mと脆弱性Lの違いを見ていきます。
表3(脆弱性Lと脆弱性Mの概要、及びそれぞれの対応を見送った経緯とその理由)で、脆弱性Mは「細工されたHTTPリクエストを送信することによって、開発支援ツールJを実行している利用者アカウントの権限で任意のコマンドを実行できる。」とあります。
ここで、開発支援ツールJについては、図3(開発用システムの概要(抜粋))に、「OSの一般利用者権限を割り当てた利用者アカウントで動作する。」とあり、脆弱性Mを悪用しても一般利用者権限での操作しかできないと判断できそうです。
一方、脆弱性Lは「脆弱性Lを悪用すると、一般利用者権限でOSコマンドAを実行した場合でも、指定してプログラムを管理者権限で起動できる。」とあります。
したがって、脆弱性Lと脆弱性Mを悪用して、管理者権限で”/etc/shadow”ファイルを参照することが可能となったと考えることができます。
下線⑦について、攻撃者が行った設定変更の内容を、45字以内で具体的に述べよ。:攻撃の接続元IPアドレスを”/etc/hosts.allow”ファイルに追加する。
「⑦R1サーバをインターネット経由で操作するために設定を変更した。」
この文章の前後に、「管理者権限でAC-Xを作成した。」「AC-Xを利用してSSH接続でR1サーバにログインした。」とあり、R1サーバへのSSH接続に関する内容であることが分かります。
前問で挙げたとおり、R1サーバのSSH接続については、図3(開発用システムの概要(抜粋))に「R1サーバの”/etc/hosts.allow”ファイルの設定において、SSH接続の接続元をN社とV社に限定している。このファイルの変更には、管理者権限が必要である。」とあり、”/etc/hosts.allow”ファイルに接続元を追加すればインターネット経由でアクセスすることが可能になります。
下線⑧について、F2ファイルには、幾つのIPアドレスをスキャンした結果が格納されていると考えられるか。図9中の値及び図10中の値を用いて求めよ。:24
「⑧F2ファイルは一部しか復元できなかったが、F1ファイルと同様の形式で、ツールXによるスキャン結果が格納されていると考えられた。」
与えられた情報を整理すると以下のとおりです。
- R1サーバのツールXによるIPアドレスのスキャン結果がF1ファイルとF2ファイルに格納され、攻撃者のサーバにアップロードされた。
- F1ファイルはサイズが320kバイトで、8個のIPアドレスのスキャン結果が格納(IPアドレスごとの出力結果は固定長)され、IPアドレスa1.b1.c1.d1のサーバにアップロードされたのち削除された。
- F2ファイルはF1ファイルと同様の形式で、スキャン結果が格納されていた。
1項の攻撃者のサーバにアップロードについて、図9(FW2での通信量の集計)にその痕跡があるはずです。
アップロードなのでアウトバウンド通信が該当し、2項の情報から、宛先IPアドレスがa1.b1.c1.d1で通信量が320kバイトである通信が確認でき、これがF1ファイルに関する通信であることが想定できます。
そうするとアウトバウンド通信のもう一つ、宛先IPアドレスがa2.b2.c2.d2で通信量が960kバイトである通信がF2ファイルに関する通信であることが想定できます。
2項の情報からIPアドレス1個あたりのサイズは320/8=40kバイトのため、F2ファイルの960kバイトだと24個のIPアドレスのスキャン結果が格納されていたと考えられます。
下線⑨について、措置を75字以内で具体的に述べよ。:FW2において、インターネットからのインバウンド通信はN社とV社からの通信だけを許可する。
「その後、G部長は、利用者アカウントのパスワード変更、R1サーバの復旧、脆弱性L及び脆弱性Mを解消する脆弱性修正プログラムの適用、⑨SSH接続及びHTTP接続を使った攻撃から開発用システムを保護するための措置などを指示した。」
開発用システムへのSSH接続及びHTTP接続については、前問で挙げたところで少し疑問に思うところがあったかと思います。
それは、「インターネットからのインバウンド通信は、FW2において、各サーバへのSSH接続及びHTTP接続を許可し、その他の通信を遮断している。」「R1サーバの”/etc/hosts.allow”ファイルの設定において、SSH接続の接続元をN社とV社に限定している。」とあるように、接続元の限定はR1サーバで実施されていますが、FW2では実施されていないことです。
開発用システムへのインターネットからのインバウンド通信について、問題文からはN社とV社以外にないと確認できるため、FW2でも接続元を限定する設定する措置を施す必要があると考えられます。