【情報処理安全確保支援士試験令和6年度春期午後問2 No.3】

情報処理安全確保支援士試験令和6年度春期午後問2

[対策V-3についての検討]
次は、対策V-3についてのL部長とT主任の会話である。

L部長：対策V-3について説明してほしい。
T主任：VPN-Hには、どのような通信要求に対しても応答しない”Deny-ALL”を設定した上で、あらかじめ設定されている順番にポートに通信要求した場合だけ所定のポートへの接続を許可するという設定（以下、設定Pという）があります。
L部長：設定Pの注意点はあるのかな。
T主任：設定されている順番を攻撃者が知らなくても、③攻撃者が何らかの方法でパケットを盗聴できた場合、設定Pを突破されてしまいます。
L部長：設定Pとは別の方法はあるのかな。
T主任：VPN-Hの機能にはありませんが、SPA（Single Packet Authorization）というプロトコルがあります。SPAの主な仕様を表6に示します。

T主任：SPAなら、④攻撃者が何らかの方法でパケットを盗聴できたとしても、突破はされません。
L部長：そうか。VPN通信機能と同様の機能をもち、SPAを採用している製品があるかどうか、ベンダーに相談してみよう。
L部長がベンダーに相談したところ、S社が提供しているアプライアンス（以下、S-APPLという）の紹介があった。L部長とT主任は、S-APPLの導入検討を進めた。

[S-APPLの導入検討]
S-APPLは、VPN通信機能、SPAパケットを検証する機能などをもつ。S-APPLと接続するためには、S-APPLのエージェントソフトウェア（以下、Sソフトという）を接続元のPCに導入し、接続元のPCごとのIDと秘密情報を、S-APPLと接続元のPCそれぞれに設定する必要がある。なお、秘密情報は、SPAパケットのHMACベースのワンタイムパスワードの生成などに使われる。S-APPLとSソフトの主な機能を表7に示す。

T主任は、対策V-1〜3について、次のように考えた。

対策V-1については、表7項番3の機能で対応する。方式は、表2（イ）の方式を採用する。
対策V-2については、S-APPLの脆弱性情報を収集し、脆弱性修正プログラムが公開されたら、それを適用する。
対策V-3については、表7項番1の機能で対応する。

T主任は、対策V-3のためのH社のネットワーク構成の変更案を作成した。なお、変更する際は、次の対応が必要になる。
⑴ VPN-HをS-APPLに置き換える。R-PCには、Sソフトを導入する。
⑵ R-PCごとのIDと秘密情報を、S-APPLとR-PCそれぞれに設定する。
⑶ VPN-Hに付与していたIPアドレスをS-APPLに付与する。
⑷ S-APPLのFQDNをDNSサーバに登録する。

下線③について、設定Pを突破される方法を、30字以内で答えよ。：盗聴したパケットと同じ順番に通信要求を送信する。

「設定されている順番を攻撃者が知らなくても、③攻撃者が何らかの方法でパケットを盗聴できた場合、設定Pを突破されてしまいます。」
対策V-3についてあらためて問題文を確認しましょう。
まずは、表3に対策V-3があります。

攻撃方法の方法2は、「VPN-GWの製品名や型番を調査した上で、社内ネットワークへの侵入が可能になる脆弱性を調べる。もし、脆弱性が存在すればその脆弱性を悪用し、社内ネットワークに侵入する。」とあります。
そして「方法2については、VPN-Hの脆弱性対策と、VPN-Hへのポートスキャンに対する応答を返さないようにする方法（以下、ステルス化という）を検討することにした。」と続きます。
設定Pについては、「VPN-Hには、どのような通信要求に対しても応答しない”Deny-ALL”を設定した上で、あらかじめ設定されている順番にポートに通信要求した場合だけ所定のポートへの接続を許可するという設定（以下、設定Pという）があります。」とあり、これはポートノッキングと呼ばれる技術で、設定されたポートの順番を知っている正規の利用者のみが接続できるというものです。
ただ、ポートノッキングの通信は暗号化されておらず、盗聴されると設定されたポートの順番が分かってしまう弱点があります。
したがって、盗聴したパケットと同じ順番に通信要求を送信することで設定Pを突破することが可能です。

下線④について、突破されないのはなぜか。40字以内で答えよ。：SPAパケットはユニークであり、同じパケットを再利用すると破棄されるから

「SPAなら、④攻撃者が何らかの方法でパケットを盗聴できたとしても、突破はされません。」
SPA（Single Packet Authorization）の動作を表6で確認します。

項番1の「TCPのSYNパケット又はUDPの最初のパケット（以下、SPAという）には、HMACベースのワンタイムパスワードが含まれており、送信元の真正性を送信先が検証できる。」とあります。
ちなみにワンタイムパスワードには、TOTP（Time-Based OTP：時間をベースにした）とHOTP（HMAC-Based OTP：ハッシュ関数を利用したHMACを使う）があり、HOTPでは共通化鍵をログイン認証試行回数をもとにパスワードを生成します。
そして、項番2で「以前受信したものと同じランダムデータをもつSPAパケットを受信した場合は、破棄される。」とあります。
これらの記述から、毎回異なるワンタイムパスワードが盗聴されたとしても同じパスワードを再利用できず、同じSPAパケットでは認証に失敗することが分かります。
なお、IPAの採点講評では「正答率が平均的であった。SPAというプロトコルに関して本文中に示して効果を問うた。内容を理解して解答してほしい。」とありました。