【情報処理安全確保支援士試験 令和4年度 秋期 午後1 問2 No.3】

情報処理安全確保支援士試験 令和4年度 秋期 午後1 問2

【出典：情報処理安全確保支援士試験 令和4年度 秋期 午後1 問2（一部、加工あり）】

[会員サーバの調査]
 次に、会員サーバにおいて、ライブラリXの利用の有無及び同様の攻撃の有無を確認したところ、会員サーバにおいてもライブラリXでログ出力処理を行っていること、及び会員サーバにも予約サーバと同様の攻撃が行われたことを示すアクセスログが記録されていることが分かった。しかし、調査の結果、攻撃は失敗していたことが判明した。D主任は、攻撃が失敗したのは、攻撃者が会員サーバにログインするための利用者IDとパスワードを知らなかったからだと考えた。しかし、E氏は、②脆弱性Yは認証前のアクセスでも悪用できるので、そうではないと指摘した。予約サーバとは違って攻撃が失敗したのは、③別の理由だとD主任に説明した。

下線②について、その理由を、40字以内で具体的に答えよ。：ログ出力処理する文字列中に攻撃文字列が含まれれば悪用可能だから

「D主任は、攻撃が失敗したのは、攻撃者が会員サーバにログインするための利用者IDとパスワードを知らなかったからだと考えた。しかし、E氏は、②脆弱性Yは認証前のアクセスでも悪用できるので、そうではないと指摘した。」
 脆弱性Yは会員サーバへの認証前、つまりログインを必要とせずに悪用できるとのことです。
 改めて脆弱性Yについて確認すると、図2（ライブラリXと脆弱性Yの説明）に「[脆弱性Yの概要]ライブラリXを使用したログ出力処理の対象となる文字列中に特定の攻撃文字列が含まれる場合、攻撃者の用意したJavaクラスが実行される可能性がある。」とあります。
 この「ログ出力処理の対象となる文字列中に特定の攻撃文字列が含まれる場合」という部分を抜粋して回答すれば良さそうです。

下線③について、攻撃が失敗した理由を、40字以内で具体的に答えよ。：会員サーバからインターネット宛てのLDAP通信が許可されていないから

「予約サーバとは違って攻撃が失敗したのは、③別の理由だとD主任に説明した。」
 会員サーバは、「次に、会員サーバにおいて、ライブラリXの利用の有無及び同様の攻撃の有無を確認したところ、会員サーバにおいてもライブラリXでログ出力処理を行っていること、及び会員サーバにも予約サーバと同様の攻撃が行われたことを示すアクセスログが記録されていることが分かった。」から分かるように、予約サーバと同様にライブラリXで処理を行うため脆弱性Yを持っています。
では会員サーバと予約サーバの違いは何でしょう。
 まずは、ネットワーク構成を確認します。

 会員サーバ、予約サーバともDMZに位置し、FWを介してインターネットに接続しています。
 では、ファイアウォールの設定内容を確認します。

 項番1で、インターネットから予約サーバ、会員サーバ宛ての通信は許可されています。
 項番2で、予約サーバからインターネット宛ての通信は許可されていますが、会員サーバについては定義されていません。
 注記3「項番6〜11にはDMZ内のサーバとインターネットとの間、及びPC-LANとインターネットとの間の通信に関するルールはない。」とあることから、会員サーバからインターネット宛ての通信は許可されていないことが分かります。
 脆弱性Yを利用した攻撃は、インターネット上の攻撃者のLDAPサーバへの通信が必要です。
 したがって、会員サーバへの攻撃はファイアウォールの設定によって失敗していることが分かります。