[平成２６年度秋] 午後2 問2 解説①

[問題文・解答]

平成２６年度１０月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を２回に分けて行います。今回は１回目（前半）です。
平成２６年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後2 問題文]　　　[H26秋 午後2 解答]

[問題概要]

題材は、グループ企業のセキュリティインシデントとWebサイトのセキュリティ対策についてです。

概要は以下の通りで、今回は前半部分の解説を行います。
（前半部分）P.16〜P.22上段　設問1〜2該当範囲

• 多様な業種を展開するA社グループ（A社〜G社）では、Webサイト構築に関してグループ全体でのセキュリティ対策推進計画を立案した。
• F社の運営するショッピングサイトがSQLインジェクション攻撃を受け、調査したところ、被害は無かったもののサイト全体に脆弱性があることが判明。
• F社のセキュリティ事故を分析し、Webサイトの脆弱性診断ガイドラインを作成し、グループ各社に展開する。

（後半部分）P.22上段〜P.25下段　設問3該当範囲

• 今後Webサイトに最近の脆弱性（DOMベースのXSS、クリックジャッキング）対策や新技術（HSTS）の使用についてセキュアサイト構築ガイドラインに追加することを検討する。

[設問1]

(1)

HTTPのステータスコードは、1xxが情報、2xxが成功、3xxがリダイレクト、4xxがクライアント側のエラー、5xxがサーバ側のエラーを示します。（参考ページ）
表2では、goodsNoに関するクエリ文字列に対して、番号12では成功で応答サイズ1798バイトとなっています。また、脆弱性を探っていると思われる番号13、14については番号13では失敗で応答サイズ527バイトとなっており、番号14では成功で応答サイズ1806バイトとなっています。

[答] a) ウ　　b) ク

(2)

[設問1](1)より、表2の番号14のアクセスログが脆弱性を突いたアクセスであるため、晩冬14のURIのパス名欄、クエリ文字列欄より脆弱性があると考えられるURIのパス名は「/GoodDetail」、クエリ文字列のパラメタ名は「goodNo」となります。

[答] c) /GoodsDetail　　d) goodsNo

(3)

今回攻撃を受けなかった残りの3画面についてもSQLインジェクションの脆弱性がある可能性があるため併せて対策をすべきです。

[答] 残り３画面にSQLインジェクションの脆弱性があるかもしれないから

(4)

P.17下段に記載されているA社グループのセキュリティ対策プロジェクトで制定されたセキュリティ推進計画のうちの第４項に「セキュリティ事故が発生した直後のA社情報システム部への報告」とあります。
しかし、P.18中段にあるようにまずセキュリティ専門業者のX社に調査を依頼しています。そして、P.20上段より対策完了後にA社情報システム部にセキュリティ事故について初めて報告を行っています。

[答] A社情報システム部に事故発生後にすぐ報告していない点

[設問2]

(1)

診断では仮想攻撃者つまり診断ツールに割り当てているIPアドレスからの通信は遮断しないように設定した上で診断する必要があります。
[答] 診断ツールのIPアドレス

(2)

ファイアウォールの内側で行った診断のうち、対策の優先順位を下げてもよいのは、当然ファイアフォールで遮断することが出来る攻撃に関する脆弱性と考えられます。パケットフィルタ型のファイアフォールでは、送信元・宛先のIPアドレスやポート番号、セッション情報を基に通信の許可・遮断を判断するため、ファイアウォールで遮断されているポート番号の通信に関係する脆弱性については優先順位を下げても問題ありません。

[答] ファイアウォールで遮断されているポート番号の通信に関わる脆弱性

(3)

脆弱性修正でプログラムを変更した際に、新たに別の脆弱性が組み込まれてしまう可能性が考えられます。

[答] 修正によって新たな脆弱性が発生していないこと

上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。