今回は、令和6年度 春期 情報処理安全確保支援士 午後 問2の中から、【設問2】多要素認証(MFA)を狙った攻撃への対策に関する問題をピックアップして、徹底解説します!
【出題趣旨】にもあるように、「リモートワークが普及した状況下で、VPNを狙った攻撃が増加している」 のは周知の事実です。それに伴い、単純なID・パスワードだけでなく多要素認証の導入が進んでいますが、攻撃者はそのMFAすらも突破しようと巧妙な手口を編み出しています。
今回の設問は、まさにその最前線の攻防に関する内容です。【採点講評】でも「正答率が平均的であった」 とのことで、ここでしっかり得点できれば、他の受験者と差をつけられるポイントになります。
それでは、問題の核心に迫っていきましょう!
情報処理安全確保支援士試験 令和6年度 春期 午後 問2
【出典:情報処理安全確保支援士試験 令和6年度 春期 午後 問2(一部、加工あり)】
[対策V-1]
次は、対策V-1についてのL部長とT主任の会話である。
L部長:対策V-1での注意点はあるのかな。
T主任:最近は、多要素認証の利用者が多くなってきたこともあり、多要素認証を狙った攻撃が発生しています。多要素認証を狙った攻撃例を表5に示します。
L部長:攻撃例1については、不正なリモート接続を阻止するために、メールで受信したメッセージ内のURLリンクを安易にクリックしないよう注意喚起する必要があるな。
T主任:はい。しかし、当社では、業務の手続の督促などで従業員にURLリンクが含まれるメールを送っているので、URLリンクのクリックを禁止することはできません。不審なURLかどうかを見極めさせることは難しいでしょう。そこで、②たとえ罠のWebサイトへのURLリンクをクリックしてしまっても、不正なリモート接続をされないように、従業員全員が理解できる内容を、注意喚起する必要があります。
まずは問題の状況を整理しよう!【本文要約】
設問2を理解するために、H社のVPNと認証に関する状況を整理しておきましょう。
- 現状の課題: H社はリモートワークのためにVPN-Hを利用していますが、当初、多要素認証機能は無効でした。
- 対策の検討: VPNへの攻撃(方法1: 認証情報の推測)を防ぐため、対策V-1として「多要素認証を用いる」ことを検討しています。
- 新たな脅威: T主任は、MFAを導入しても、それを狙った攻撃(フィッシングや多要素認証疲労攻撃)が存在することを指摘しています。
- 攻撃シナリオ: 問題では、表5の攻撃例1「SMSを用いたMFAを突破するフィッシング攻撃」の具体的な手順が問われています。
- 人的対策の必要性: T主任は、URLリンクのクリックを全面禁止できない状況で、従業員が騙されないための効果的な注意喚起が必要だと考えています(下線②)。
【設問2 (1)】MFA突破フィッシングの攻撃手順を解き明かす
(1) 表5中の (d)、(e)に入れる、不正な接続までの攻撃手順を、具体的に答えよ。
考え方のポイント
この攻撃は、単に認証情報を盗むだけでなく、リアルタイムでMFAの認証プロセスに割り込む「Adversary-in-the-Middle (AiTM)攻撃」と呼ばれる巧妙な手口です。攻撃者、正規利用者、正規のVPNサービスの関係性を時系列で整理することが解答の鍵です。
攻撃のシーケンス:
- 【罠の始まり】 攻撃者は、正規のVPNログイン画面そっくりの罠Webサイトを用意し、フィッシングメールで利用者を誘導します。
- 【利用者の誤操作】 利用者は罠サイトを本物と信じ込み、利用者IDとパスワードを入力してしまいます。
- 【手順(d) 攻撃者の暗躍①】 ここからが(d)の内容です。
- 攻撃者は、今まさに利用者から盗んだIDとパスワードを使って、正規のVPNサービスにログインを試みます。
- 正規のVPNサービスは、ID/PWが正しいことを確認すると、次のステップであるMFA(多要素認証)を開始します。
- 具体的には、登録されている正規利用者のスマートフォンに、SMSでセキュリティコードが送信されます。
- 【手順(e) 攻撃者の暗躍②】 ここが(e)の内容であり、認証の最後の砦を突破するクライマックスです。
- 一方、利用者の画面には、罠サイトが表示した「セキュリティコード入力画面」が出ています。利用者は自分のスマホに届いたコードを、本物の画面だと思い込んで入力してしまいます。
- 攻撃者は、利用者が罠サイトに入力したセキュリティコードをリアルタイムで窃取します。
- そして、そのコードを、自分がアクセスしている正規のVPNのセキュリティコード入力画面に入力します。
- これで認証の全ステップが完了し、攻撃者は正規利用者になりすまして社内ネットワークへの不正接続を成功させます。
【採点講評】で「手順が不足している解答や、設問とは異なる攻撃についての解答が散見された」 と指摘されているのは、この「攻撃者が正規サイトと利用者の間に入って情報を中継する」という流れを正確に記述できなかったケースが多いからだと考えられます。
解答への道筋
上記のシーケンスを、(d)と(e)に分けて簡潔にまとめます。
【解答例】
(d) 攻撃者が、正規のVPNダイアログに利用者IDとパスワードを入力すると、正規利用者のスマートフォンにセキュリティコードが送信される。
(e) 正規利用者が受信したセキュリティコードを、罠のWebサイトに入力すると、攻撃者がそれを読み取り、正規のセキュリティコード入力画面に入力することで認証される。
【設問2 (2)】URLクリック後でも身を守るための注意喚起
(2) 本文中の下線②について、注意喚起の内容を、具体的に答えよ。
(下線②: たとえ罠のWebサイトへのURLリンクをクリックしてしまっても、不正なリモート接続をされないように、従業員全員が理解できる内容を、注意喚起する必要がある。)
考え方のポイント
この設問の最大の制約は、「URLリンクのクリック禁止はできない」「不審なURLの見極めは難しい」という点です。 つまり、「怪しいリンクはクリックしないように」という一般的な注意喚起は、H社の状況では有効な対策とは言えません。
では、どうすれば良いのでしょうか?
ポイントは、「認証情報を入力する『場所』を限定する」というルールを徹底することです。
- 罠サイト: メール内のリンクをクリックしてWebブラウザで開いたページ。見た目は本物そっくりかもしれません。
- 正規の入力画面: 普段リモートワークで使う「VPNクライアントソフトウェア」を起動したときに表示されるダイアログボックス。
この2つは、入り口が全く異なります。たとえメールのリンクを踏んでしまっても、「あれ? いつもと違うな。認証情報はブラウザのページじゃなくて、専用ソフトの画面に入れるはずだ」と気づければ、被害を防ぐことができます。
利用者に求めるべき行動は、「どこからその画面が開かれたか」を意識し、「認証情報の入力は、必ず正規の手順で起動したアプリケーションにのみ行う」という習慣づけです。
解答への道筋
この本質的な対策を、従業員全員が理解できる具体的な言葉で表現します。
【解答例】
認証情報の入力は、受信したメール内のURLリンクをクリックして起動した画面には行わず、VPNダイアログにだけ行う。
まとめ
設問2は、現代のサイバー攻撃の巧妙さと、それに対する多角的な防御策の重要性を教えてくれる問題でした。
- (1) 攻撃手順の理解: AiTMのような高度な攻撃手法のシーケンスを正確に理解する力が求められました。
- (2) 実践的な人的対策: 技術的な制約(URLクリックを禁止できない)の中で、いかにして人的なミスを防ぐかという、より実践的なセキュリティ対策の策定能力が試されました。
【採点講評】の「攻撃を正確に理解することによって、対策も立てやすくなる」 という言葉は、まさに至言です。なぜその対策が必要なのかを根本から理解するためには、まず敵である攻撃の手口を知り尽くすことが不可欠です。
この問題を通じて、MFAも万能ではないこと、そして技術と教育の両輪でセキュリティを強化していく必要性を再確認できたのではないでしょうか。
この調子で、次の設問も攻略していきましょう!応援しています!