情報処理安全確保支援士試験 令和4年度 春期 午後2 問2
【出典:情報処理安全確保支援士試験 令和4年度 春期 午後2 問2(一部、加工あり)】
問2 クラウドサービスへの移行に関する次の記述を読んで、設問1〜5に答えよ。
X社は、従業員500名の情報サービス会社であり、5年前から動画投稿配信サービス(以下、動画サービスという)を提供している。動画サービスは、アカウント登録した会員が動画を投稿したり、投稿された動画を閲覧して評価したりすることができるサービスである。動画サービスは、Webサーバ(以下、動画サービスを提供するWebサーバをX社動画サーバという)を用いて提供されている。X社のシステム部は、X社のシステム全てを管理している。X社のシステム構成を図1に示す。
XPCには、Webブラウザ、電子メール(以下、メールという)ソフト、GrW専用クライアントソフトなどが導入されている。X社の従業員の認証は、認証サーバで行われており、XPC、GrWサーバ、FS、内部メールサーバへのシングルサインオン(以下、シングルサインオンをSSOという)を実現している。
X社のシステムでは、動画サービスの人気上昇による会員の増加に伴い、X社動画サーバの負荷が高くなっており、インターネット回線もひっ迫している。
X社の経営陣は、この問題への対策を併せて、セキュリティを強化するための抜本的な対策を検討するようシステム部に指示した。システム部のCさんが担当に任命され、セキュリティサービスを提供するW社から情報処理安全確保支援士(登録セキスペ)のF氏を招き、助言を受けることになった。
[抜本的な対策の検討]
F氏は、X社動画サーバをクラウドサービスへ移行し、さらに、Content Delivery Network(CDN)を利用する案を図2のように提案した。
次は、図2の2についてのCさんとF氏の会話である。
Cさん:X社動画サーバでの動画配信にCDNを利用すると、どのように動画が配信されるようになりますか。
F氏:CDNでは、インターネット上に(a)サーバというサーバを分散配置して、動画配信を要求した端末に最も近い(a)サーバから動画を配信するようにします。(a)サーバは、動画配信を要求されたとき、要求された動画を保持していれば代理応答し、保持していなければ動画を保持しているX社動画サーバにアクセスして動画を取得し、応答します。多くの動画配信が代理応答されるので、X社動画サーバの負荷が軽減されます。
Cさん:その仕組みによって、(b)攻撃への耐性も向上しますね。X社動画サーバでの動画配信にCDNを利用するには、どのようにすればよいでしょうか。
F氏:例えば、M社が提供しているCDNを採用した場合の利用手順は図3のようになり、動画配信時の動作は図4のようになります。
Cさん:理解しました。CDNを悪用する攻撃というのはあるのでしょうか。
F氏:X社動画サーバのCDN利用に関するものではありませんが、CDNを悪用する攻撃の一つにドメインフロンティング攻撃があります。X社内のインターネット利用者をFWとプロキシサーバで保護するセキュリティ対策では、注意が必要です。どのようにして攻撃が成功するか、その例を図5に示します。
Cさん:何か対策はあるのでしょうか。
F氏:攻撃者サーバに割り当てられたIPアドレスを宛先とする通信をFWで拒否しても、Z-FQDNをプロキシサーバの拒否リストに登録しても、図5の⑸の通信は遮断できません。①Y-CDN-U-FQDNを名前解決したIPアドレスを宛先とする通信をFWで拒否すると、複数のWebサイトが閲覧できなくなる影響があります。通信内容を監視して遮断するなどセキュリティ強化を進めているCDN事業者もありますが、進めていない事業者もあります。X社では、FW又はプロキシサーバを、アウトバウンド通信の復号及び高機能な通信解析ができるものに替え、(d)とHTTPリクエスト中の(c)ヘッダの値が一致していることを検証して、一致していなければ遮断するという対策を検討してもよいでしょう。
Cさん:わかりました。
システム部は、X社動画サーバのクラウドサービスへの移行及びCDNの利用案について経営陣に報告した。この案は経営陣に承認され、X社動画サーバの移行が開始された。
a:キャッシュ
「CDNでは、インターネット上に(a)サーバというサーバを分散配置して、動画配信を要求した端末に最も近い(a)サーバから動画を配信するようにします。(a)サーバは、動画配信を要求されたとき、要求された動画を保持していれば代理応答し、保持していなければ動画を保持しているX社動画サーバにアクセスして動画を取得し、応答します。」
Content Delivery Network(CDN)では、インターネット上の様々な場所にコンテンツ配信用のキャッシュサーバを分散配置して、動画の配信元から複製したコンテンツを保存して常に同期するようにしています。
b:DDoS
「その仕組みによって、(b)攻撃への耐性も向上しますね。」
その仕組みとは、再掲ですが「CDNでは、インターネット上にキャッシュサーバというサーバを分散配置して、動画配信を要求した端末に最も近いキャッシュサーバから動画を配信するようにします。キャッシュサーバは、動画配信を要求されたとき、要求された動画を保持していれば代理応答し、保持していなければ動画を保持しているX社動画サーバにアクセスして動画を取得し、応答します。多くの動画配信が代理応答されるので、X社動画サーバの負荷が軽減されます。」から、分散配置と代理応答によるX社動画サーバの負荷軽減です。
分散配置によって、1台のサーバが攻撃が受けサービス提供できなくなっても他のサーバでサービス提供が可能であり可用性を高めることができます。
したがって、サーバをダウンさせる代表的な攻撃としてDDoS(Distributed DoS)攻撃に対する耐性が向上するとすればいいでしょう。
c:Host
「TLSの接続先サーバ名にはRFC6066に基づいて、HTTPリクエストの(c)ヘッダにはRFC7230に基づいて、X-FQDNが指定される。要求された動画をM社CDNが保持していない場合、M社CDNは、HTTPリクエストの(c)ヘッダからX社動画サーバを特定し、HTTPリクエストを転送する。」
「当該マルウェアは、HTTPリクエストを送信する際、(c)ヘッダにZ-FQDNを指定する。」
図4(動画配信時の動作(抜粋))から、会員の端末が動画配信を要求するHTTPリクエストを送信する宛先は、X-CDN-M-FQDNつまりM社CDNになります。
M社CDNはX社以外の利用者が利用していて、要求する動画がどの利用者なのかを識別する必要があります。
HTTPプロトコルでは、リクエスト先のFQDNを特定するヘッダとしてHostヘッダがあります。
HostヘッダにX社動画サーバのX-FQDNを指定して、HTTPリクエストを転送することになります。
なお、「TLSの接続先サーバ名にはRFC6066に基づいて、‥X-FQDNが指定される」とは、HTTPSの場合はHTTP通信の前にTLSのネゴシエーションが行われますが、TLSデータの中にSNI(Server Name Indication)として接続先サーバ名を指定するものです。
下線①について、Y-CDN-U-FQDNを名前解決したIPアドレスを宛先とする通信をFWで拒否した場合に閲覧できなくなるWebサイトの範囲を、60字以内で具体的に述べよ:Y-CDN-U-FQDNを名前解決したIPアドレスと同じIPアドレスをもつWebサイト
「①Y-CDN-U-FQDNを名前解決したIPアドレスを宛先とする通信をFWで拒否すると、複数のWebサイトが閲覧できなくなる影響があります。」
図5(ドメインフロンティング攻撃が成功する例)を確認します。
⑶と⑷の記述から、TLS接続の段階ではY社WebサイトとHTTPS通信を行うとしていますが、HTTP通信の段階ではHOSTヘッダに攻撃者サーバを指定することで、CDN-Uが攻撃者サーバにHTTPリクエストを転送することを可能としています。
つまり、ドメインフロンティング攻撃とはその名前の通り、あるドメイン(フロント)を利用して攻撃者サーバに誘導するような仕組みを取ります。
この対策として「Y-CDN-U-FQDNを名前解決したIPアドレスを宛先とする通信をFWで拒否する」とありますが、⑴の記述からCDN-UはWebサイトの複数で利用されているとあり、Y-CDN-U-FQDNを名前解決したIPアドレスには複数のWebサイトが利用しています。
したがって、閲覧できなくなるWebサイトの範囲としては、「Y-CDN-U-FQDNを名前解決したIPアドレスと同じIPアドレスをもつWebサイト」とすればいいでしょう。
d:TLSの接続先サーバ名
「X社では、FW又はプロキシサーバを、アウトバウンド通信の復号及び高機能な通信解析ができるものに替え、(d)とHTTPリクエスト中の(c:Host)ヘッダの値が一致していることを検証して、一致していなければ遮断するという対策を検討してもよいでしょう。」
前の設問で説明したように、TLSのネゴシエーションで行われるTLSデータの中のSNI(TLSの接続先サーバ名)と、HTTP通信で指定されるHostヘッダにはともにX-FQDNが指定されますが、ドメインフロンティング攻撃ではHostヘッダに攻撃者のサーバを指定します。
したがって、両者が一致していることを確認し、一致していなければ遮断するという対策が有効です。
なお、HTTP通信はTLSによって暗号化されているので、Hostヘッダを確認するにはFW又はプロキシサーバで通信の復号及び高機能な通信解析ができるものに替える必要があるということです。