2016年8月30日火曜日

[平成26年度秋] 午後1 問3 解説

[問題文・解答]


平成26年度10月に実施された情報セキュリティスペシャリスト試験の午後1試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H26秋 午後1 問題文]   [H26秋 午後1 解答]

[問題概要]

題材は、マルウェア感染への対応についてです。
社内ネットワークのPCからマルウェアが検出されたため、感染経路・被害の調査を行うとともに、今後の対策として社内機器のフィルタリングルールやアクセス制御、パスワード格納の設定を見直すという内容です。
フィルタリングルールやハッシュに関する知識が必要とされ、読解力も問われる問題です。難易度は普通〜やや高めです。



[設問1]

(1)

P.16[受信メールの制限]では、送信者アドレスがM社のものに偽装されたメールを制限するために外部メールサーバのフィルタリングルールにM社のドメインをブラックリストとして追加しようとしています。
この結果、表1の外部メールサーバの機能説明にもあるように外部からのメールのうち、ブラックリストに指定されたドメイン名からのメールは拒否されることになります。
しかし、P.15上段で「SaaS型クラウドサービスX内のメールサーバZからM社の顧客に対して製品紹介のメールを配信する際に、メールの写しをM社営業部員に送信する。送信の際は、送信者アドレスとしてM社のメールアドレスを使っている」とあります。
このメールサーバZから営業部員へのメールは、外部からのメールでかつ送信者アドレスがM社のドメイン名となるため、上記のフィルタリングに引っかかって拒否されてしまいます。
[答] メールサーバZから営業部員宛てに送られるメール

(2)

[設問1](1)で解答したメールが外部メールサーバのフィルタリングで拒否されないようにするために、該当するメールをホワイトリストに追加する必要があります。
従って、送信元メールサーバのIPアドレスのホワイトリストにメールサーバZのIPアドレスを追加することになります。

[答] 送信元メールサーバのIPアドレスのホワイトリストにメールサーバZのIPアドレスを追加する。


[設問2]

(1)

図2の2.マルウェアYとC&Cサーバとのバックドア通信の記載より、マルウェアYは1つ目の方法として、プロキシサーバを経由せずに、TCPポート番号8050でC&Cサーバにアクセスしようとします。
しかし、表2よりインターネットへの接続が許可されていると考えられるのは、項番1のプロキシサーバからの通信と、項番2~7のSMTP及びDNSに関する通信です。
DNSはポート番号が53、SMTPは25なのでマルウェアYの通信とは一致しません。
従って、マルウェアYの1つ目の方法での通信は、FWのフィルタリングルールにより拒否されます。
[答] FWのフィルタリングルールで遮断しているから

(2)

表4では、マルウェアYがHTTPのCONNECTメソッドで任意のポート番号を用いてC&Cサーバにアクセスしようとするのを防ぐために、プロキシサーバに追加しようとしている設定です。この設定ではポート443つまりHTTPS以外の通信を拒否します。
しかしこの場合、P.15上段で「サービスXには、営業部のPCから、HTTPのCONNECTメソッドを使用してプロキシサーバ経由でアクセスしており、プロキシサーバからサービスXへのアクセスにはポート番号2560を使用している。」とあることから、営業部からサービスXへの通信も拒否されてしまいます。従って、支障が出る業務は本文中の言葉で5字以内で言うなら、「顧客管理」(P.15上段より)となります。
[答] 顧客管理


(3)

[設問2](2)で述べた営業部PCからサービスXへの通信を許可する設定を追加する必要があるので、CONNECTメソッドでポート番号2560の通信を許可とします。

[答] メソッド:CONNECT  ポート番号:2560  動作:許可

[設問3]

(1)

図1より開発部のPCは利用者セグメント2にあり、表3の項番1,2より利用者セグメント2⇄開発サーバセグメントの通信は許可されているため、これを拒否する設定に変更すればよいです。

[答] 利用者セグメント2から開発サーバセグメントへの通信を拒否にする。

(2)

これは解答がかなり難しい問題です。
文中にほとんどヒントがありませんが、図2よりマルウェアYはブラウザやPDF閲覧ソフトの脆弱性を悪用して感染したとあります。従って、マルウェア感染のリスクを少しでも低減するために運用サーバの管理に必要の無いソフトウェアは利用しないようにすべきと考えられます。

[答] 運用サーバセグメントの管理に必要のないソフトウェアの利用

[設問4]

(1)

14字までのパスワードを総当たり攻撃で解析する、ということは1字〜14字のそれぞれの場合で想定される全ての文字列に対するハッシュ値を計算し、入手したOSのパスワードのハッシュ値と照合することで元のパスワードが逆引きできるということです。

b, c) 表5より、L1ハッシュではパスワードに使用される文字種は計69種類です。また、パスワードが8文字以上の場合、前半7文字と残りで分割してハッシュ値を計算します。
従って、69種の文字から作成出来る長さ1字〜7字の文字列全てについてハッシュ値を求めれば良いことになるため、bには7、cには69^iが当てはまります。
(8字目以降のについては、前半で計算したハッシュ値を利用出来ます。)

d, e) 表5より、L2ハッシュでは使用される文字種は95種あり、文字列分割は無いため、95種の文字から作成出来る長さ1字〜14字の文字列全てについてハッシュ値を求めることになります。従って、dには14、eには95^iが当てはまります。

[答] b) 7 c) 69^i d) 14 e) 95^i

(2)

ソルトについては、[平成27年度春] 午後1 問3 解説で紹介した通り、ユーザごとにソルト(文字列)を用意し、ハッシュ計算時にパスワードの前後にソルトを付加することで同じパスワードでもハッシュ値を変える方法です。

[答] 同じパスワードでもソルトが異なるとハッシュ値が変わるから


平成26年度秋のSC午後1試験の他の問題の解説は下記投稿で行っています。

また、平成26年度秋のSC午後1試験のオススメ問題について下記投稿に記載しています。
[平成26年度秋] 午後1はどの問題を選択すれば良いか?

上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。


0 件のコメント:

コメントを投稿