情報処理安全確保支援士試験 令和5年度 秋期 午後 問2
【出典:情報処理安全確保支援士試験 令和5年度 秋期 午後 問2(一部、加工あり)】
問2 セキュリティ対策の見直しに関する次の記述を読んで、設問に答えよ。
M社は、L社の子会社であり、アパレル業を手掛ける従業員100名の会社である。M社のオフィスビルは、人通りの多い都内の大通りに面している。
昨年、M社の従業員が、社内ファイルサーバに保存していた秘密情報の商品デザインファイルをUSBメモリに保存し、競合他社に持ち込むという事件が発生した。この事件を契機として、L社からの指導でセキュリティ対策の見直しを進めている。既に次の三つの見直しを行った。
- USBメモリへのファイル保存を防ぐために、従業員に貸与するノートPC(以下、業務PCという)に情報漏えい対策ソフトを導入し、次のように設定した。
⑴USBメモリなどの外部記憶媒体の接続を禁止する。
⑵ソフトウェアのインストールを除いて、ローカルディスクへのファイルの保存を禁止する。
⑶会社が許可していないWebメールサービス及びクラウドストレージサービスへの通信を遮断する。
⑷会社が許可していないソフトウェアのインストールを禁止する。
⑸電子メール送信時のファイルの添付を禁止する。 - 業務用のファイルの保存場所を以前から使用していたクラウドストレージサービス(以下、Bサービスという)の1か所にまとめ、設定を見直した。
- 社内ファイルサーバを廃止した。
M社のオフィスビルには、執務室と会議室がある。執務室では従業員用無線LANが利用可能であり、会議室では、従業員用無線LANと来客用無線LANの両方が利用可能である。会議室にはプロジェクターが設置されており、来客が持ち込むPC、タブレット及びスマートフォン(以下、これらを併せて来客持込端末という)又は業務PCを来客用無線LANに接続することで利用可能である。
M社のネットワーク構成を図1に、その構成要素の概要を表1に、M社のセキュリティルールを表2に示す。
FWのVLANインタフェース設定を表3に、FWのフィルタリング設定を表4に、AP-5の設定を表5に示す。
[Bサービスからのファイルの持出しについてのセキュリティ対策の確認]
これまで行った対策の見直しに引き続き、Bサービスからのファイルの持出しのセキュリティ対策について、十分か否かの確認を行うことになった。そこで、情報システム部のYさんが、L社の情報処理安全確保支援士(登録セキスペ)であるS士の支援を受けながら、確認することになった。2人は、社外の攻撃者による持出しと従業員による持出しのそれぞれについて、セキュリティ対策を確認することにした。
[社外の攻撃者によるファイルの持出しについてのセキュリティ対策の確認]
次は、社外の攻撃者によるBサービスからのファイルの持出しについての、YさんとS氏の会話である。
Yさん:来客用無線LANを利用したことのある来客者が、攻撃者としてM社の近くから来客用無線LANに接続し、Bサービスにアクセスするということが考えられないでしょうか。
S氏:それは考えられます。しかし、Bサービスにログインするには(a)と(b)が必要です。
Yさん:来客用無線LANのAPと同じ設定の偽のAP(以下、偽APという)及びBサービスと同じURLの偽のサイト(以下、偽サイトという)を用意し、DNSの設定を細工して、(a)と(b)を盗む方法はどうでしょうか。攻撃者が偽APをM社の近くに用意した場合に、M社の従業員が業務PCを偽APに誤って接続してBサービスにアクセスしようとすると、偽サイトにアクセスすることになり、ログインしてしまうことがあるかもしれません。
S氏:従業員がHTTPSで偽サイトにアクセスしようとすると、安全な接続ではないという旨のエラーメッセージとともに、偽サイトに使用されたサーバ証明書に応じて、図2に示すエラーメッセージの詳細の一つ以上がWebブラウザに表示されます。従業員は正規のサイトでないことに気付けるので、ログインしてしまうことはないと考えられます。
Yさん:なるほど、理解しました。しかし、偽APに接続した状態で、従業員がWebブラウザにBサービスのURLを入力する際に、誤って”http://”と入力してBサービスにアクセスしようとした場合、エラーメッセージが表示されないのではないでしょうか。
S氏:大丈夫です。HSTSを有効にしてあるので、その場合でも、①先ほどと同じエラーメッセージが表示されます。
a:利用者ID、b:パスワード
「しかし、Bサービスにログインするには(a)と(b)が必要です。」
「来客用無線LANのAPと同じ設定の偽のAP(以下、偽APという)及びBサービスと同じURLの偽のサイト(以下、偽サイトという)を用意し、DNSの設定を細工して、(a)と(b)を盗む方法はどうでしょうか。」
Bサービスについては、表1に「従業員ごとに割り当てられた利用者IDとパスワードでログインし、利用する。」とあります。
したがって、Bサービスにログインするには利用者IDとパスワードが必要です。
なお、もう一つの問題文の内容は以下のとおりです。
- 偽AP経由で偽DHCPサーバから偽DNSサーバのIPアドレスが払い出される。
- 偽DNSサーバでは、BサービスのURL(FQDN)に対して偽サイトのIPアドレスが登録されている。
- 偽APに接続した従業員がBサービスにアクセスすると、偽サイトに接続してしまい、利用者IDとパスワードが盗まれる。
c:このサーバ証明書は、信頼された認証局から発行されたものではない、d:このサーバ証明書に記載されているサーバ名は、接続先のサーバ名と異なる
「従業員がHTTPSで偽サイトにアクセスしようとすると、安全な接続ではないという旨のエラーメッセージとともに、偽サイトに使用されたサーバ証明書に応じて、図2に示すエラーメッセージの詳細の一つ以上がWebブラウザに表示されます。」
偽サイトのサーバ証明書は正規なもの、つまりBサービス用のサーバ証明書ではありません。
正規なサーバ証明書でない場合のエラーメッセージの内容としては、2つあります。
一つは、サーバ証明書を発行する認証局を偽装した場合についてです。
攻撃者はサーバ証明書を偽造しますが、そのサーバ証明書は攻撃者自身が偽の認証局、つまり通常のWindowsなどのOSが信頼された認証局として登録されていない機関から発行されているサーバ証明書となります。
もう一つは、サーバ証明書の登録情報であるCN(common name)についてです。
CNは、そのサーバ証明書が有効なサーバのドメイン名のことです。
攻撃者が信頼された認証局からサーバ証明書を発行してもらう際には、BサービスのFQDNに似せたFQDNで発行してもらうことになります。
つまり、BサービスのFQDNと偽のサーバ証明書に登録されているCNが一致しないことになります。
下線①について、エラーメッセージが表示される直前までのWebブラウザの動きを、60字以内で答えよ。:HTTPのアクセスをHTTPSのアクセスに置き換えてアクセスする。その後、偽サイトからサーバ証明書を受け取る。
「HSTSを有効にしてあるので、その場合でも、①先ほどと同じエラーメッセージが表示されます。」
HSTSについては、表1のBサービスの概要で「HTTP Strict Transport Security(HSTS)を有効にしている。」とあります。
HSTSとは、Webサーバからブラウザに対して、常にHTTPSで通信するように指示する機能です。
したがって、HTTPのアクセスをHTTPSのアクセスに置き換えてアクセスすることになります。
その後の動作は、HTTPSでアクセスしてサーバ証明書を受信して、問題があればエラーメッセージを表示します。