【情報処理安全確保支援士試験 令和4年度 秋期 午後1 問3 No.3】

情報処理安全確保支援士試験 令和4年度 秋期 午後1 問3

【出典：情報処理安全確保支援士試験 令和4年度 秋期 午後1 問3（一部、加工あり）】

[再発防止及び被害低減のための対策]
 初動対応と原因分析を終えたHさんは、再発防止及び被害低減のための対策を検討することにし、K主任に相談した。次は、その時のHさんとK主任との会話である。

Hさん：調査では、ゲームサーバ1は攻撃者からの攻撃の指示をIPアドレス（c）のサーバから受け取っていたことが分かりました。（d）はマルウェア感染によって攻撃者の制御下となったコンピュータで構成されますが、ゲームサーバ1もそのままにしておくと（d）に加えられてしまっていたかもしれません。そこで、IPアドレス（c）への接続を業務用FWで拒否するのはどうでしょうか。
K主任：それだけでは、攻撃者が同種の方法で攻撃の指示をしたときに⑤対策として有効でない場合があります。再検討してください。
Hさん：分かりました。
K主任：レジストリサーバについての対策は、どうするつもりですか。
Hさん：REST APIによるゲームイメージの新規登録及び上書き登録の呼出しについて、呼出し元IPアドレスを（e）のIPアドレスからだけに制限するというのはどうでしょう。
K主任：それは効果がありますね。

 Hさんは、ほかにも必要な再発防止及び被害低減のための対策を検討した。

c：a3.b3.c3.d3

「調査では、ゲームサーバ1は攻撃者からの攻撃の指示をIPアドレス（c）のサーバから受け取っていたことが分かりました。」
「そこで、IPアドレス（c）への接続を業務用FWで拒否するのはどうでしょうか。」
 攻撃者が関与するIPアドレスの情報について、問題文には「Hさんが同日の業務用FWのログを確認したところ、ゲームサーバ1はインターネット上のIPアドレスa3.b3.c3.d3及びレジストリサーバに対してだけ接続していた。」とあります。
 したがって、攻撃者からの攻撃の指示を受け取っていたのは、IPアドレスがa3.b3.c3.d3のサーバでしょう。

d：ボットネット

「（d）はマルウェア感染によって攻撃者の制御下となったコンピュータで構成されますが、ゲームサーバ1もそのままにしておくと（d）に加えられてしまっていたかもしれません。」
 マルウェア感染によって攻撃者の制御下となったコンピューで構成とあることから、これはボットネットのことです。
 ボットネットは攻撃者の指示を受けて、一斉にDDoS攻撃などを行います。

下線⑤について、有効でないのはどのような場合か。25字以内で答えよ。：別のIPアドレスを攻撃者が用いる場合

「それだけでは、攻撃者が同種の方法で攻撃の指示をしたときに⑤対策として有効でない場合があります。」
 「そこで、IPアドレスa3.b3.c3.d3への接続を業務用FWで拒否するのはどうでしょうか。」を受けてのコメントで、この対策が有効でない場合を考えます。
 単純に考えて、IPアドレスa3.b3.c3.d3には有効ですが、それ以外のIPアドレスのサーバに対しては有効ではないことがわかるでしょう。

e：ソースコードサーバ

「REST APIによるゲームイメージの新規登録及び上書き登録の呼出しについて、呼出し元IPアドレスを（e）のIPアドレスからだけに制限するというのはどうでしょう。」
 ゲームイメージの登録は、本来、どこから行われるべきだったでしょうか。
 それは、表1（M社の機器の概要（抜粋））にゲームイメージの記述として、「・新たなソースコードが格納されるたびに、当該ソースコードが参照しているOSSのソースコードを外部からダウンロードする。その後、ゲームアプリのコンテナイメージ（以下、ゲームイメージという）を新たに生成し、レジストリサーバに登録する。」とあるソースコードサーバになります。