サイトアイコン やさしいネットワークとセキュリティ

【情報処理安全確保支援士試験 令和4年度 秋期 午後1 問3 No.3】

情報処理安全確保支援士試験 令和4年度 秋期 午後1 問3

【出典:情報処理安全確保支援士試験 令和4年度 秋期 午後1 問3(一部、加工あり)】

[再発防止及び被害低減のための対策]
 初動対応と原因分析を終えたHさんは、再発防止及び被害低減のための対策を検討することにし、K主任に相談した。次は、その時のHさんとK主任との会話である。

Hさん:調査では、ゲームサーバ1は攻撃者からの攻撃の指示をIPアドレス(c)のサーバから受け取っていたことが分かりました。(d)はマルウェア感染によって攻撃者の制御下となったコンピュータで構成されますが、ゲームサーバ1もそのままにしておくと(d)に加えられてしまっていたかもしれません。そこで、IPアドレス(c)への接続を業務用FWで拒否するのはどうでしょうか。
K主任:それだけでは、攻撃者が同種の方法で攻撃の指示をしたときに⑤対策として有効でない場合があります。再検討してください。
Hさん:分かりました。
K主任:レジストリサーバについての対策は、どうするつもりですか。
Hさん:REST APIによるゲームイメージの新規登録及び上書き登録の呼出しについて、呼出し元IPアドレスを(e)のIPアドレスからだけに制限するというのはどうでしょう。
K主任:それは効果がありますね。

 Hさんは、ほかにも必要な再発防止及び被害低減のための対策を検討した。

c:a3.b3.c3.d3

調査では、ゲームサーバ1は攻撃者からの攻撃の指示をIPアドレス(c)のサーバから受け取っていたことが分かりました。
そこで、IPアドレス(c)への接続を業務用FWで拒否するのはどうでしょうか。
 攻撃者が関与するIPアドレスの情報について、問題文には「Hさんが同日の業務用FWのログを確認したところ、ゲームサーバ1はインターネット上のIPアドレスa3.b3.c3.d3及びレジストリサーバに対してだけ接続していた。」とあります。
 したがって、攻撃者からの攻撃の指示を受け取っていたのは、IPアドレスがa3.b3.c3.d3のサーバでしょう。

d:ボットネット

d)はマルウェア感染によって攻撃者の制御下となったコンピュータで構成されますが、ゲームサーバ1もそのままにしておくと(d)に加えられてしまっていたかもしれません。
 マルウェア感染によって攻撃者の制御下となったコンピューで構成とあることから、これはボットネットのことです。
 ボットネットは攻撃者の指示を受けて、一斉にDDoS攻撃などを行います。

下線⑤について、有効でないのはどのような場合か。25字以内で答えよ。:別のIPアドレスを攻撃者が用いる場合

それだけでは、攻撃者が同種の方法で攻撃の指示をしたときに⑤対策として有効でない場合があります。
 「そこで、IPアドレスa3.b3.c3.d3への接続を業務用FWで拒否するのはどうでしょうか。」を受けてのコメントで、この対策が有効でない場合を考えます。
 単純に考えて、IPアドレスa3.b3.c3.d3には有効ですが、それ以外のIPアドレスのサーバに対しては有効ではないことがわかるでしょう。

e:ソースコードサーバ

REST APIによるゲームイメージの新規登録及び上書き登録の呼出しについて、呼出し元IPアドレスを(e)のIPアドレスからだけに制限するというのはどうでしょう。
 ゲームイメージの登録は、本来、どこから行われるべきだったでしょうか。
 それは、表1(M社の機器の概要(抜粋))にゲームイメージの記述として、「・新たなソースコードが格納されるたびに、当該ソースコードが参照しているOSSのソースコードを外部からダウンロードする。その後、ゲームアプリのコンテナイメージ(以下、ゲームイメージという)を新たに生成し、レジストリサーバに登録する。」とあるソースコードサーバになります。

モバイルバージョンを終了