【情報処理安全確保支援士試験令和6年度春期午後問2 No.2】

情報処理安全確保支援士試験令和6年度春期午後問2

[対策V-1]
次は、対策V-1についてのL部長とT主任の会話である。

L部長：対策V-1での注意点はあるのかな。
T主任：最近は、多要素認証の利用者が多くなってきたこともあり、多要素認証を狙った攻撃が発生しています。多要素認証を狙った攻撃例を表5に示します。

L部長：攻撃例1については、不正なリモート接続を阻止するために、メールで受信したメッセージ内のURLリンクを安易にクリックしないよう注意喚起する必要があるな。
T主任：はい。しかし、当社では、業務の手続の督促などで従業員にURLリンクが含まれるメールを送っているので、URLリンクのクリックを禁止することはできません。不審なURLかどうかを見極めさせることは難しいでしょう。そこで、②たとえ罠のWebサイトへのURLリンクをクリックしてしまっても、不正なリモート接続をされないように、従業員全員が理解できる内容を、注意喚起する必要があります。

表5中の（d）、（e）に入れる、不正な接続までの攻撃手順を、具体的に答えよ。：（d）攻撃者が、正規のVPNダイアログに利用者IDとパスワードを入力すると、正規利用者のスマートフォンにセキュリティコードが送信される。（e）正規利用者が受信したセキュリティコードを、罠のWebサイトに入力すると、攻撃者がそれを読み取り、正規のセキュリティコード入力画面に入力することで認証される。

表2（ア）を確認しましょう。

具体的な手順が注^1）に記載されているので、これに攻撃者が介在する手順を想定します。
表5の（1）で、攻撃者が送信したフィッシングメールにより、偽のVPNダイアログ画面に誘導し、正規利用者の利用者IDとパスワードを不正に入手します。
そして、偽サイトは偽のセキュリティコード入力画面に遷移し、並行して攻撃者は正規のVPNダイアログ画面で正規利用者になりすまして利用者IDとパスワードを入力します。
正規のVPN-Hは正規利用者にセキュリティコードを送信し、それを受信した正規利用者が偽のセキュリティコード入力画面でセキュリティコードを入力します。
これにより攻撃者がセキュリティコードを不正に入手し、正規のVPN-Hの認証をパスすることができます。
なお、IPAの採点講評では「正答率が平均的であった。多要素認証を突破する攻撃について問うたが、手順が不足している解答や、設問とは異なる攻撃についての解答が散見された。攻撃を正確に理解することによって、対策も立てやすくなるので、正確に理解してほしい。」とありました。

下線②について、注意喚起の内容を、具体的に答えよ。：認証情報の入力は、受信したメール内のURLリンクをクリックして起動した画面には行わず、VPNダイアログにだけ行う。

「そこで、②たとえ罠のWebサイトへのURLリンクをクリックしてしまっても、不正なリモート接続をされないように、従業員全員が理解できる内容を、注意喚起する必要があります。」
攻撃者が送信したフィッシングメールのURLリンクをクリックすると、罠のWebサイトが起動し、ここでは偽のVPNダイアログが表示されます。
正規のVPN通信については、表2にあるとおり、VPNクライアントソフトウェア起動時に表示されるVPNダイアログにて、利用者IDとパスワードを入力します。
このVPNダイアログの起動の違いを注意喚起すればいいでしょう。