情報処理安全確保支援士試験 令和4年度 秋期 午後1 問3
【出典:情報処理安全確保支援士試験 令和4年度 秋期 午後1 問3(一部、加工あり)】
[再発防止及び被害低減のための対策]
初動対応と原因分析を終えたHさんは、再発防止及び被害低減のための対策を検討することにし、K主任に相談した。次は、その時のHさんとK主任との会話である。
Hさん:調査では、ゲームサーバ1は攻撃者からの攻撃の指示をIPアドレス(c)のサーバから受け取っていたことが分かりました。(d)はマルウェア感染によって攻撃者の制御下となったコンピュータで構成されますが、ゲームサーバ1もそのままにしておくと(d)に加えられてしまっていたかもしれません。そこで、IPアドレス(c)への接続を業務用FWで拒否するのはどうでしょうか。
K主任:それだけでは、攻撃者が同種の方法で攻撃の指示をしたときに⑤対策として有効でない場合があります。再検討してください。
Hさん:分かりました。
K主任:レジストリサーバについての対策は、どうするつもりですか。
Hさん:REST APIによるゲームイメージの新規登録及び上書き登録の呼出しについて、呼出し元IPアドレスを(e)のIPアドレスからだけに制限するというのはどうでしょう。
K主任:それは効果がありますね。
Hさんは、ほかにも必要な再発防止及び被害低減のための対策を検討した。
c:a3.b3.c3.d3
「調査では、ゲームサーバ1は攻撃者からの攻撃の指示をIPアドレス(c)のサーバから受け取っていたことが分かりました。」
「そこで、IPアドレス(c)への接続を業務用FWで拒否するのはどうでしょうか。」
攻撃者が関与するIPアドレスの情報について、問題文には「Hさんが同日の業務用FWのログを確認したところ、ゲームサーバ1はインターネット上のIPアドレスa3.b3.c3.d3及びレジストリサーバに対してだけ接続していた。」とあります。
したがって、攻撃者からの攻撃の指示を受け取っていたのは、IPアドレスがa3.b3.c3.d3のサーバでしょう。
d:ボットネット
「(d)はマルウェア感染によって攻撃者の制御下となったコンピュータで構成されますが、ゲームサーバ1もそのままにしておくと(d)に加えられてしまっていたかもしれません。」
マルウェア感染によって攻撃者の制御下となったコンピューで構成とあることから、これはボットネットのことです。
ボットネットは攻撃者の指示を受けて、一斉にDDoS攻撃などを行います。
下線⑤について、有効でないのはどのような場合か。25字以内で答えよ。:別のIPアドレスを攻撃者が用いる場合
「それだけでは、攻撃者が同種の方法で攻撃の指示をしたときに⑤対策として有効でない場合があります。」
「そこで、IPアドレスa3.b3.c3.d3への接続を業務用FWで拒否するのはどうでしょうか。」を受けてのコメントで、この対策が有効でない場合を考えます。
単純に考えて、IPアドレスa3.b3.c3.d3には有効ですが、それ以外のIPアドレスのサーバに対しては有効ではないことがわかるでしょう。
e:ソースコードサーバ
「REST APIによるゲームイメージの新規登録及び上書き登録の呼出しについて、呼出し元IPアドレスを(e)のIPアドレスからだけに制限するというのはどうでしょう。」
ゲームイメージの登録は、本来、どこから行われるべきだったでしょうか。
それは、表1(M社の機器の概要(抜粋))にゲームイメージの記述として、「・新たなソースコードが格納されるたびに、当該ソースコードが参照しているOSSのソースコードを外部からダウンロードする。その後、ゲームアプリのコンテナイメージ(以下、ゲームイメージという)を新たに生成し、レジストリサーバに登録する。」とあるソースコードサーバになります。