【情報処理安全確保支援士試験 令和4年度 春期 午後2 問2 No.2】

情報処理安全確保支援士試験 令和4年度 春期 午後2 問2

【出典：情報処理安全確保支援士試験 令和4年度 春期 午後2 問2（一部、加工あり）】

[他のサーバのクラウドサービスへの移行案]
 X社動画サーバの移行が完了し、CDNの利用も開始された。X社動画サーバに関する課題が解決されると、経営陣は、自社が保有する他のサーバについてもクラウドサービスへの移行を検討するようシステム部に指示した。システム部では、図6に示すクラウドサービスへの移行案を作成した。

[SSOの現状]
 X社では、Kerberos認証でSSOが実現されている。XPCからGrWサーバにアクセスする場合のKerberos認証の流れを図7に、図7中の各処理の概要を表1に示す。

 次は、図7についてのCさんとF氏の会話である。

Cさん：Kerberos認証に対する攻撃はあるのでしょうか。
F氏：幾つかあります。二つ説明しましょう。一つ目は、TGT、STの偽造攻撃です。TGT又はSTが偽造されると、サーバが不正アクセスされて危険です。現在、TGTの偽造については、認証サーバ側での対策が進んでいます。一方、②STの偽造については認証サーバ側で検知することができません。
Cさん：リスクがありますね。
F氏：二つ目は、サーバ管理者アカウントのパスワードを解読して不正にログインする攻撃です。XPCからSTが奪取され、不正アクセスに悪用されても不正アクセスされる範囲は限定されます。しかし、奪取されたSTに対してサーバ管理者アカウントのパスワードの総当たり攻撃が行われ、それが成功すると、当該サーバ管理者アカウントでアクセスできるサーバが乗っ取られてしまいます。この総当たり攻撃は、③サーバ側でログイン連続失敗時のアカウントロックを有効にしていても対策になりません。
Cさん：分かりました。

下線②について、認証サーバ側では検知することができない理由を、30字以内で述べよ。：STは認証サーバに送られないから

「一方、②STの偽造については認証サーバ側で検知することができません。」
 STは図7の注2にあるように「アクセス対象のサーバごとに発行されるチケット」のことです。
 図7のSTに関する流れを見れば分かるように、認証サーバで発行されたSTはXPC経由でGrWサーバに渡っていて、そこで認証処理が完了しています。
 したがってSTが偽装されたとしても、認証サーバ側では検知することは出来ません。

下線③について、対策にならない理由を、35字以内で述べよ。：総当たり攻撃はオフラインで行われ、ログインに失敗しないから

「③サーバ側でログイン連続失敗時のアカウントロックを有効にしていても対策になりません。」
 対策は「奪取されたSTに対してサーバ管理者アカウントのパスワードの総当たり攻撃」に対するものです。
 そこで、STについて改めて確認すると図7の注2に「アクセス対象のサーバの管理者アカウント（以下、サーバ管理者アカウント）のパスワードハッシュ値を鍵として暗号化されている」とあり、この鍵の元であるパスワードを総当たりで試して奪取したSTを復号できるか確認していくことで、サーバ管理者アカウントのパスワードを特定出来ます。
 この総当たり攻撃は、サーバに対して実施する必要はなく、奪取したSTに対してツールなどオフラインで実施すればいいものです。
 したがって、サーバのログイン連続失敗時のアカウントロックでは検出できません。