2016年10月5日水曜日

[平成26年度春] 午後2 問2 解説①

[問題文・解答]


平成26年度4月に実施された情報セキュリティスペシャリスト試験の午後2問題 問2の解説を2回に分けて行います。今回は1回目(前半)です。
平成26年度4月の情報セキュリティスペシャリスト 午後2試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H26春 午後2 問題文]   [H26春 午後2 解答]

[問題概要]

題材は、公開Webサーバのコンテンツ改ざんの調査とその対策立案についてです。

概要は以下の通りで、今回は前半部分の解説を行います。
(前半部分)P.14〜P.20 設問1〜2該当範囲
  • 金属加工業者D社では公開Webサーバやプロキシサーバ、メールサーバをDMZに配し、各種内部LAN上のPC・サーバ、CADシステム等からDMZを経由するネットワーク構成を構築している。
  • 公開Webサーバにコンテンツの改ざんがあったことが発覚し、調査した結果、公開Webサーバの脆弱性を悪用して不正なスクリプトがコンテンツファイル中に埋め込まれていた。
  • 公開Webサーバへの脆弱性修正プログラムの適用を行った後、従来FTPで行っていたコンテンツ更新方法の見直しを行う。
(後半部分)P.20下段〜P.25上段 設問3〜5該当範囲
  • Webアクセスによるウイルス感染を減らすためにプロキシサーバの設定見直しを検討する。
  • トラブル調査の迅速化を目的としてログの取得・管理方法の見直しを検討する。
  • これまでメール送付で行っていた委託先へのCADデータ送信方法を再検討する。



[設問1]

(1)

これは意外と解答しづらい問題です。
攻撃者がサーバのシャットダウン時や起動時に走るスクリプトの中にログファイル(/var/log/messagesなど)を削除したり、ねつ造したりする操作を仕込んでいる可能性があるため、シャットダウンせずに調査をする方が確実です。
[答] ファイルが書き換えられる可能性があるから。

(2)

バックアップ取得とコンテンツ改ざんに関する時系列情報は問題文中の以下の記述がヒントになります。
  • P.17上段「DMZに設置されたサーバ、〜のデータは日次でバックアップを行っている。また、OS及びプログラムのバックアップは、脆弱性修正プログラムの適用前及び適用後に行っている。」
  • P.18下段「A氏が、〜DMZに設置されたサーバに対して、いつ脆弱性修正プログラムを適用したかを尋ねたところ、Kさんは2ヶ月前に適用したと答えた。」
  • 図2 1.2「調査したログには、不振なアクセスの記録はなかった。調査開始日の4週間以上前に改ざんが行われた可能性が高い」
以上の情報より、データのバックアップ取得はコンテンツ改ざんの後で確定です。
OS・プログラムのバックアップ取得は、コンテンツ改ざんの前後どちらの可能性もありますが、いずれにしてもバックアップメディア内に既に改ざんされたコンテンツファイルが含まれる可能性があるため、バックアップメディアからの復元は避けるべきです。
[答] バックアップメディアに改ざんされたファイルが含まれている可能性があるから

(3)

P.16下段に「D社では、社内で利用可能なソフトウェアを定めている。OSがWindowsの場合は、Q社のウイルス対策ソフトとR社の画像閲覧ソフトの導入を必須としている。」
とあります。表1より事務サーバ、設計管理サーバ、CAD/CAMシステムのOSがWindowsとなっています。また、P.16最下段に「PCのOSはWindowsである」とあります。
従って、事務サーバ、設計管理サーバ、CAD/CAMシステム、PCにはD社で定めたソフトウェアのうち少なくともQ社のウイルス対策ソフトとR社の画像閲覧ソフトがインストールされていることが分かります。
P.16下段の記述を見ると、現状、事務サーバ、設計管理サーバ、CAD/CAMシステム、PCに適用している脆弱性修正プログラムはOSの物のみであり、上記のソフトウェアについてはカバーされていません。従って、D社で定めたソフトウェアについても脆弱性修正プログラムの適用対象とすべきです。
[答] D社で定めたソフトウェア

[設問2]

(1)

これは知らないと解答出来ない問題です。
FTPでは、通信を暗号化をせずにファイルを転送するのに対して、SSHを用いたファイル転送の場合は通信を暗号化した状態でファイル転送が行えるため、セキュリティ上安全です。
[答] SSH

(2)

表2の項目4では、全ての送信元から公開WebサーバへのFTP(修正後はSSH又はSFTP)が許可されていますが、FTPを用いて公開Webサーバへファイル転送を行うのはD社の運用上、コンテンツ作成業者のE社だけです。従って、送信元はE社に限定する方がよりセキュリティが向上します。
[答] 項目名:送信元
  変更後の内容:E社

上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。


0 件のコメント:

コメントを投稿