【情報処理安全確保支援士試験令和6年度春期午後問2 No.1】

情報処理安全確保支援士試験令和6年度春期午後問2

問2 サイバー攻撃への対策に関する次の記述を読んで、設問に答えよ。

H社は、従業員3,000名の製造業であり、H社製品の部品を製造する約500社と取引を行っている。取引先は、H社に設置された取引先向けWebサーバにHTTPSでアクセスし、利用者IDとパスワードでログインした後、H社との取引業務を行っている。また、公開Webサーバでは、H社製品の紹介に加え、問合せや要望の受付を行っている。いずれのWebサーバが停止しても、業務に支障が出る。
H社では、社内に設置しているPC（以下、H-PCという）とは別に、一部の従業員に対して、VPNクライアントソフトウェアを導入したリモート接続用PC（以下、リモート接続用PCをR-PCという）を貸与し、リモートワークを実現している。R-PCとH社との間のVPN通信には、VPNゲートウェイ（以下、VPNゲートウェイをVPN-GWといい、H社が使用しているVPN-GWをVPN-Hという）を使用している。
H社のネットワークは、情報システム部のL部長とT主任を含む6名で運用している。H社のネットワーク構成を図1に示す。

UTMの機能概要及び設定を表1に、VPN-Hの機能概要及び設定を表2に示す。

最近、同業他社でサイバー攻撃による被害が2件立て続けに発生したという報道があった。1件は、VPN-GWが攻撃を受け、社内ネットワークに侵入されて情報漏えいが発生した事案である。もう1件は、DDoS攻撃による被害が発生した事案である。
H社でも同様な事案が発生する可能性について、L部長とT主任が調査することにした。

[VPN-GWへの攻撃に対する調査]
T主任は、VPN-GWへの攻撃方法を次のようにまとめた。

方法1：VPN-GWの認証情報を推測し、社内ネットワークに侵入する。
方法2：VPN-GWの製品名や型番を調査した上で、社内ネットワークへの侵入が可能になる脆弱性を調べる。もし、脆弱性が存在すればその脆弱性を悪用し、社内ネットワークに侵入する。

T主任は、方法1については、VPN-Hの認証強化を検討することにした。また、方法2については、VPN-Hの脆弱性対策と、VPN-Hへのポートスキャンに対する応答を返さないようにする方法（以下、ステルス化という）を検討することにした。方法1と方法2についてT主任がまとめた対策案を表3に示す。

[DDoS攻撃に対する調査]
次に、T主任は、DDoSに関連する攻撃について調査し、H社で未対策のものを表4にまとめた。

次は、表4についてのT主任とL部長の会話である。

T主任：項番1、2、4のDDoS攻撃のサーバへの影響は、UTMのIPS機能とWAF機能で軽減することができます。
L部長：そうか。機能の設定に関する注意点はあるのかな。
T主任：例えば、アノマリ型IPS機能で、トラフィック量について、しきい値が高すぎる場合にも、①しきい値が低すぎる場合にも弊害が発生するので、しきい値の設定には注意するようにします。また、項番3の対策として、現在のDNSサーバを廃止して、権威DNSサーバの機能をもつサーバ（以下、DNS-Kという）とフルサービスリゾルバの機能をもつサーバ（以下、DNS-Fという）を社内に新設します。インターネットから社内へのDNS通信は（b）への通信だけを許可し、社内からインターネットへのDNS通信は（c）からの通信だけを許可します。

（a）に入れる攻撃の例を、H社での攻撃対策を示して具体的に答えよ。：公開Webサーバ、取引先向けWebサーバを攻撃対象に、HTTP GETリクエストを繰返し送る。

（a）はHTTP GET Flood攻撃の例です。
DDoS（Distributed Denial of Service）攻撃は、分散した多数のホストから一斉に特定のサーバやネットワークに大量のリクエストを送り、サービスを利用不能にさせる攻撃です。
項番1のUDP Flood攻撃はUDPデータグラムを大量に送り付ける攻撃ですが、HTTP GET Flood攻撃ではHTTP GETリクエストを大量に送り付ける攻撃になります。

そして、HTTP GET Flood攻撃の攻撃対象は、HTTP GETを扱うWebサーバになります。
Webサーバについては、問題文の冒頭に「取引先は、H社に設置された取引先向けWebサーバにHTTPSでアクセスし、利用者IDとパスワードでログインした後、H社との取引業務を行っている。また、公開Webサーバでは、H社製品の紹介に加え、問合せや要望の受付を行っている。」とあるように、取引先向けWebサーバと公開Webサーバがあるようです。
また、図1から、インターネットからアクセスできるDMZ上にあるサーバのうちWebサーバである取引先向けWebサーバと公開Webサーバと判断できます。

下線①の場合に発生する弊害を、25字以内で答えよ。：正常な通信を異常として検知してしまう。

「例えば、アノマリ型IPS機能で、トラフィック量について、しきい値が高すぎる場合にも、①しきい値が低すぎる場合にも弊害が発生するので、しきい値の設定には注意するようにします。」
アノマリ型IPS機能については、表1に「あらかじめ登録したしきい値を超えた通信を異常として検知する。」とあります。

例えば、トラフィック量が「0〜100」の範囲内で、通常時は「50」程度である状況だと、DDoS攻撃で一時的に「80」程度に上昇する場合を想定します。
しきい値の設定が高すぎる場合、例えばしきい値を「90」とすると、DDoS攻撃を検知できなくなります。これを偽陰性（FN：False Negative）と言います。
しきい値の設定が低すぎる場合、例えばしきい値を「30」とすると、正常な通信を異常として検知してしまいます。これを偽陽性（FP：False Positive）と言います。
なお、IPAの採点講評では「正答率が高かった。アノマリ型IPS機能で、しきい値の設定に関する問題であったが、IPS機能の仕様を反対に理解していると思われる解答が散見された。昨日は正確に理解してほしい。」とありました。

b：DNS-K、c：DNS-F

「また、項番3の対策として、現在のDNSサーバを廃止して、権威DNSサーバの機能をもつサーバ（以下、DNS-Kという）とフルサービスリゾルバの機能をもつサーバ（以下、DNS-Fという）を社内に新設します。インターネットから社内へのDNS通信は（b）への通信だけを許可し、社内からインターネットへのDNS通信は（c）からの通信だけを許可します。」
項番3の攻撃「DNSリフレクション攻撃の踏み台にされる」のDNSリフレクション攻撃は、踏み台のDNSサーバを悪用して、攻撃対象のDNSサーバ宛てに大量のパケットを送り付ける攻撃です。
踏み台のDNSサーバがパケットを攻撃対象のDNSサーバ向けに反射（リフレクション）することが由来です。
攻撃者は、送信元IPアドレスを攻撃対象のDNSサーバのIPアドレスに偽装したDNS要求パケットを踏み台となる多数のDNSサーバに送信します。
この時のDNS要求パケットは、それに応答するパケットのサイズが大きくなるTXTレコードを利用します。
踏み台のDNSサーバが外部のDNSサーバに名前解決を要求し、受信した応答パケットを攻撃対象のDNSサーバに送信することで、攻撃対象のDNSサーバを過負荷状態に陥れます。
ここで、DNSリフレクション攻撃の踏み台にされるポイントは、攻撃者からのDNS要求パケットの受信と、外部のDNSサーバへの名前解決要求を1台のDNSサーバが担っているところです。
DNS要求パケットの受信で自社ドメインのDNS要求パケットに応答する権威DNSサーバと、外部のDNSサーバへの名前解決要求を行うフルサービスリゾルバに分離しておくことで、有効な対策となります。
したがって、インターネットから社内へのDNS通信はDNS-K（権威DNSサーバ）宛ての通信、社内からインターネットへのDNS通信はDNS-F（フルサービスリゾルバ）からの通信のみを許可することになります。