今回は、令和6年度 春期 情報処理安全確保支援士 午後 問2の中から、【設問3】VPNのステルス化技術に関する問題を深掘り解説します。この設問では、VPNゲートウェイの存在そのものを攻撃者から隠す「ポートノッキング」や「SPA」といった技術がテーマです。
【出題趣旨】にも「リモートワークのセキュリティ対策を設計、構築する能力を問う」 とあるように、VPNの入り口をいかに固めるかは非常に重要なポイントです。
【採点講評】によると、設問3(2)は正答率が平均的だったとのこと 。つまり、ここで問われている技術の仕組みを正確に理解できているかが、合否を分ける一つのポイントになりそうです。
それでは、一緒に問題の核心に迫っていきましょう!
情報処理安全確保支援士試験 令和6年度 春期 午後 問2
【出典:情報処理安全確保支援士試験 令和6年度 春期 午後 問2(一部、加工あり)】
[対策V-3についての検討]
次は、対策V-3についてのL部長とT主任の会話である。
L部長:対策V-3について説明してほしい。
T主任:VPN-Hには、どのような通信要求に対しても応答しない”Deny-ALL”を設定した上で、あらかじめ設定されている順番にポートに通信要求した場合だけ所定のポートへの接続を許可するという設定(以下、設定Pという)があります。
L部長:設定Pの注意点はあるのかな。
T主任:設定されている順番を攻撃者が知らなくても、③攻撃者が何らかの方法でパケットを盗聴できた場合、設定Pを突破されてしまいます。
L部長:設定Pとは別の方法はあるのかな。
T主任:VPN-Hの機能にはありませんが、SPA(Single Packet Authorization)というプロトコルがあります。SPAの主な仕様を表6に示します。
T主任:SPAなら、④攻撃者が何らかの方法でパケットを盗聴できたとしても、突破はされません。
L部長:そうか。VPN通信機能と同様の機能をもち、SPAを採用している製品があるかどうか、ベンダーに相談してみよう。
L部長がベンダーに相談したところ、S社が提供しているアプライアンス(以下、S-APPLという)の紹介があった。L部長とT主任は、S-APPLの導入検討を進めた。
[S-APPLの導入検討]
S-APPLは、VPN通信機能、SPAパケットを検証する機能などをもつ。S-APPLと接続するためには、S-APPLのエージェントソフトウェア(以下、Sソフトという)を接続元のPCに導入し、接続元のPCごとのIDと秘密情報を、S-APPLと接続元のPCそれぞれに設定する必要がある。なお、秘密情報は、SPAパケットのHMACベースのワンタイムパスワードの生成などに使われる。S-APPLとSソフトの主な機能を表7に示す。
T主任は、対策V-1〜3について、次のように考えた。
- 対策V-1については、表7項番3の機能で対応する。方式は、表2(イ)の方式を採用する。
- 対策V-2については、S-APPLの脆弱性情報を収集し、脆弱性修正プログラムが公開されたら、それを適用する。
- 対策V-3については、表7項番1の機能で対応する。
T主任は、対策V-3のためのH社のネットワーク構成の変更案を作成した。なお、変更する際は、次の対応が必要になる。
⑴ VPN-HをS-APPLに置き換える。R-PCには、Sソフトを導入する。
⑵ R-PCごとのIDと秘密情報を、S-APPLとR-PCそれぞれに設定する。
⑶ VPN-Hに付与していたIPアドレスをS-APPLに付与する。
⑷ S-APPLのFQDNをDNSサーバに登録する。
まずは問題の状況を整理しよう!【本文要約】
設問3を解くにあたり、VPNの防御策に関するH社の検討状況を整理します。
- 攻撃シナリオ: 攻撃方法2「VPN-GWの製品名や型番を調査し、脆弱性を悪用して侵入する」 が想定されています。
- 対策の検討: この対策として、T主任は「VPN-Hのステルス化」(対策V-3)を検討しています。
- 具体的な方法①「設定P」:
- これは「ポートノッキング」とも呼ばれる技術で、あらかじめ決められた順番にポートへ通信要求した場合だけ、接続を許可する仕組みです。
- しかし、この方法には「パケットを盗聴されると突破されてしまう」という弱点があります。
- 具体的な方法②「SPA」:
- 「設定P」の代替案として「SPA (Single Packet Authorization)」というプロトコルが紹介されています。
- SPAの大きな特長は「攻撃者がパケットを盗聴できたとしても、突破はされない」という点です。 その仕様は表6にまとめられています。
【設問3 (1)】なぜ「設定P(ポートノッキング)」は盗聴で破られるのか?
(1) 本文中の下線③について、設定Pを突破される方法を、30字以内で答えよ。
(下線③: 攻撃者が何らかの方法でパケットを盗聴できた場合、設定Pを突破されてしまいます。)
考え方のポイント
まず、「設定P」、つまりポートノッキングの仕組みをイメージしましょう。これは、家のドアを開けるための「秘密のノック」のようなものです。例えば、「ポート1000番を1回、次にポート2000番を1回、最後にポート3000番を1回ノックする」という合言葉を決めておき、その通りにアクセスがあった場合にのみ、本来の目的のポート(例えばVPN用のポート)を開放します。
では、なぜこれが盗聴で破られてしまうのでしょうか?
答えは、その「秘密のノック」がネットワーク上を流れる際に、内容が暗号化されていない場合が多いからです。攻撃者がネットワーク上のパケットを盗聴(キャプチャ)していると、正規利用者が行った「秘密のノック」の順番、つまり「ポート1000→2000→3000」というシーケンスが丸見えになってしまいます。
一度シーケンスを知られてしまえば、攻撃者はそれを真似するだけです。盗聴した通信と全く同じパケットを、同じ順番で送信すれば、攻撃者も正規利用者として認証され、ドアを開けてもらうことができます。このような攻撃をリプレイ攻撃(再送攻撃)と呼びます。
解答への道筋
この「盗聴したシーケンスを真似て送信する」というリプレイ攻撃の本質を、30字以内で簡潔に表現します。
【解答例】 盗聴したパケットと同じ順番に通信要求を送信する。
【設問3 (2)】なぜ「SPA」は盗聴されても安全なのか?
(2) 本文中の下線④について、突破されないのはなぜか。40字以内で答えよ。
(下線④: SPAなら、攻撃者が何らかの方法でパケットを盗聴できたとしても、突破はされません。)
考え方のポイント
この問題は、本文に答えが書いてあるサービス問題です!【採点講評】でも「本文中に示して効果を問うた。内容を理解して解答してほしい」 と言及されており、表6「SPAの主な仕様」を正確に読み解く力が試されています。
では、表6からリプレイ攻撃を防ぐ仕組みを探してみましょう。
- 仕様1: 「HMACベースのワンタイムパスワードが含まれており…」
- ワンタイム(一回限り)なので、一度使われたパスワードは二度と使えません。盗聴しても再利用は不可能です。
- 仕様2: 「SPAパケットにはランダムデータが含まれており…。以前受信したものと同じランダムデータをもつSPAパケットを受信した場合は、破棄される。」
- これがリプレイ攻撃に対する最も直接的な防御策です!攻撃者が盗聴したパケットをそのまま再送しても、サーバ側は「このランダムデータはさっき見たぞ」と判断し、パケットを破棄してくれます。
- 仕様4: 「検証した結果は、送信元に返さない。」
- これにより、攻撃者はノックが成功したのか失敗したのかすら知ることができず、総当たり攻撃なども困難になります。
これらの仕様からわかるように、SPAパケットは「一回限り有効」で「ユニーク(一意)」な性質を持っています。だから、盗聴したパケットを再利用するリプレイ攻撃は通用しないのです。
解答への道筋
表6の内容、特に仕様2のポイントを要約して、40字以内で解答を作成します。「ユニークであること」と「再利用すると破棄されること」がキーワードです。
【解答例】 SPAパケットはユニークであり、同じパケットを再利用すると破棄されるから
まとめ
設問3では、VPNゲートウェイの存在を隠蔽するステルス化技術について、その強みと弱みが問われました。
- ポートノッキング(設定P): 実装は比較的容易ですが、通信が単純なためリプレイ攻撃に弱い。
- SPA: ワンタイムパスワードやランダムデータといった仕組みにより、リプレイ攻撃に耐性がある。
「そもそも攻撃対象として認識させない」というアプローチは、多層防御の考え方において非常に重要です。問題文に提示されたヒント、特に仕様がまとめられた表などを注意深く読み解き、技術の特性を正確に把握する能力は、セキュリティ専門家にとって不可欠なスキルと言えるでしょう。
この記事が、皆さんの理解の一助となれば幸いです。次の設問に向けて、この調子で頑張っていきましょう!応援しています!