情報処理安全確保支援士試験 令和4年度 秋期 午後1 問3
【出典:情報処理安全確保支援士試験 令和4年度 秋期 午後1 問3(一部、加工あり)】
[各サーバ上での被害の調査]
Hさんが同日の業務用FWのログを確認したところ、ゲームサーバ1はインターネット上のIPアドレスa3.b3.c3.d3及びレジストリサーバに対してだけ接続していた。そこでHさんは、同日のレジストリサーバのHTTP及びHTTPSのアクセスログを確認した。Hさんが確認したアクセスログを、表3に示す。
Hさんが調査したところ、項番1及び2は、Hさんがゲームイメージを取得した時のもの、項番3は、開発部の従業員がソースコードをソースコードサーバに格納したことによって、自動的にタグ379のゲームイメージが生成され、登録された時のものであると特定された。一方、項番4以降については、開発部及び運用部ともに誰も該当する操作を行っていなかったので、K主任に相談した。次は、その時のK主任とHさんとの会話である。
K主任:時刻から考えて、攻撃者に指示された命令によってコードZが送信したリクエストと考えるとつじつまが合いそうです。攻撃者は当社のネットワーク構成について詳細を知らずに項番4のアクセスをし、③そのレスポンスの内容から、レスポンスを返したホストはコンテナイメージが登録されているサーバだと判断したようです。項番5及び項番6は、レジストリサーバに登録されたコンテナイメージを列挙するAPI呼出しを行っています。それ以降のログを見ると、レジストリサーバ上のタグ341から379までのゲームイメージが上書きされた可能性があります。したがって、ゲームサーバ3及びゲームサーバ4に対して更新を行うべきではありません。
Hさん:分かりました。
その後、K主任は、被害の拡大を防止するために、Hさんに④レジストリサーバへの対処を指示した。
下線③について、レスポンスに含まれる内容のうち、攻撃者がレジストリサーバと判断するのに用いたと考えられる情報を、25字以内で答えよ。:レジストリサーバに固有のレスポンスヘッダ
「攻撃者は当社のネットワーク構成について詳細を知らずに項番4のアクセスをし、③そのレスポンスの内容から、レスポンスを返したホストはコンテナイメージが登録されているサーバだと判断したようです。」
表3(レジストリサーバのHTTP及びHTTPSのアクセスログ(抜粋))の項番4では、index.htmlへの通信が失敗(404 Not Found)しています。
この通信のレスポンスヘッダを見れば、どのような種類のWebサーバであるかの情報を得ることができます。
問題文からはレジストリサーバの具体的なレスポンスヘッダの情報は確認できないため、一般論として回答します。
下線④について、行うべき対処を、25字以内で答えよ。:上書きされたイメージを削除する。
「その後、K主任は、被害の拡大を防止するために、Hさんに④レジストリサーバへの対処を指示した。」
レジストリサーバでは、「それ以降のログを見ると、レジストリサーバ上のタグ341から379までのゲームイメージが上書きされた可能性があります。」とあるように、ゲームイメージが不正なものに置き換わってしまっている可能性があります。
したがって、行うべき対処としては、上書きされたイメージを削除することでしょう。