[問題文・解答]
平成28年度10月に実施された情報セキュリティスペシャリスト試験の午後1試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H28秋 午後1 問題文] [H28秋 午後1 解答]
[問題概要]
題材は、プロキシサーバによるマルウェア対策についてです。社内プロキシサーバを更新するプロジェクトで、段階的に旧プロキシサーバから新サーバへと移行している際に社内からC&Cサーバに通信の記録があったことが判明する。調査の結果、添付メールから社内PCがマルウェアに感染していたことが分かり、対処及び対策を実行するという内容です。
一部知らないと答えるのが困難な問題がありますが、その他の設問は比較的解答しやすい設問が多く、難易度はやや易しい〜普通です。
[設問1]
リバースプロキシは基本的な用語ですが、知らないと解答が難しいです。
表1のaの説明欄にある「インターネットからWebサーバへの通信を中継する」という機能はリバースプロキシの説明です。
[答] エ
表1のaの説明欄にある「インターネットからWebサーバへの通信を中継する」という機能はリバースプロキシの説明です。
[答] エ
[設問2]
(1)
P.13下段「マルウェアZは、文書ファイルのマクロとして実装されていた。マルウェアZは、Uさんの社員PC上で動作し、文書閲覧ソフトの脆弱性を悪用して〜」とあるようにマルウェアZ自体は文書ファイルであり、実行時には文書閲覧ソフトが起動されるため、プログラム起動禁止設定は行えません。
次にOSの管理用コマンドは、以下の記述より管理PCでは業務上使用必須であり、社員PCでは不要と分かります。
・P.11下段「サーバ管理者は各種設定等のサーバ管理業務を行う場合だけ、1台の管理PCに自分の管理者IDでログオンし、OSの管理用のコマンドなどを使用する。」
・P.12上段「社員PCにはOSの管理用のコマンドはインストールされていない。」
また、攻撃用プログラムは当然起動禁止とすべきです。
以上より、社員PCについてはOSの管理用のコマンドと攻撃用プログラムを、管理PCについては攻撃用プログラムを起動禁止設定とするのが適切です。
[答] b) イ c) オ
次にOSの管理用コマンドは、以下の記述より管理PCでは業務上使用必須であり、社員PCでは不要と分かります。
・P.11下段「サーバ管理者は各種設定等のサーバ管理業務を行う場合だけ、1台の管理PCに自分の管理者IDでログオンし、OSの管理用のコマンドなどを使用する。」
・P.12上段「社員PCにはOSの管理用のコマンドはインストールされていない。」
また、攻撃用プログラムは当然起動禁止とすべきです。
以上より、社員PCについてはOSの管理用のコマンドと攻撃用プログラムを、管理PCについては攻撃用プログラムを起動禁止設定とするのが適切です。 [答] b) イ c) オ
(2)
・プログラムの内容が変わればハッシュ値も変わるため、ハッシュ値を指定する方法での起動禁止設定をしても防ぎきれません。
・プログラム名が変われば当然プログラム名を指定する方法による起動禁止設定も有効ではありません。
従って、これら両方の特徴と持つプログラムの場合は、両方のプログラム起動禁止設定をしても起動を防ぎきれないことになります。
[答] プログラムの内容を変え、かつ、プログラム名を変える場合
・プログラムの内容が変わればハッシュ値も変わるため、ハッシュ値を指定する方法での起動禁止設定をしても防ぎきれません。
・プログラム名が変われば当然プログラム名を指定する方法による起動禁止設定も有効ではありません。
従って、これら両方の特徴と持つプログラムの場合は、両方のプログラム起動禁止設定をしても起動を防ぎきれないことになります。
[答] プログラムの内容を変え、かつ、プログラム名を変える場合
・プログラム名が変われば当然プログラム名を指定する方法による起動禁止設定も有効ではありません。
従って、これら両方の特徴と持つプログラムの場合は、両方のプログラム起動禁止設定をしても起動を防ぎきれないことになります。
[答] プログラムの内容を変え、かつ、プログラム名を変える場合
[設問3]
(1)
フェーズ1では、社員PCのプロキシ設定は変更せずに、
社員PC⇄プロキシ1⇄プロキシ2⇄インターネット
の経路で通信を行います。ここで、プロキシ1において送信元IPアドレスが社員PCの内部アドレスからプロキシ1のアドレスに変更されてしまうため、プロキシ2に到達した段階では送信元IPアドレスがプロキシ1のIPアドレスとなっており、本来の送信元PCを特定することは出来ません。
[答] 送信元IPアドレスがプロキシ1のIPアドレスとなるので
社員PC⇄プロキシ1⇄プロキシ2⇄インターネット
の経路で通信を行います。ここで、プロキシ1において送信元IPアドレスが社員PCの内部アドレスからプロキシ1のアドレスに変更されてしまうため、プロキシ2に到達した段階では送信元IPアドレスがプロキシ1のIPアドレスとなっており、本来の送信元PCを特定することは出来ません。 [答] 送信元IPアドレスがプロキシ1のIPアドレスとなるので
(2)
X-Forwarded-For
HTTPヘッダフィールドの1つで、プロキシサーバやロードバランサを経由してWebサーバへ接続する際の送信元IPアドレスを特定するために利用される。これは知らないと解答出来ない設問です。
上記[設問3](1)で述べたようにプロキシ1を経由することで送信元PCのIPアドレスが分からなくことへの対策として使用するため、X-Forwarded-Forフィールドが正解です。
[答] オ
[設問4]
(1)
PCのWebブラウザからプロキシサーバへの通信を盗聴して、利用者IDやパスワードといった認証情報を取得し、この情報をプロキシサーバへ送信することでプロキシ認証を突破することが可能となります。
[答] Webブラウザからプロキシサーバへの通信を盗聴して認証情報を取得し、プロキシサーバに送信する。
(2)
P.15上段にあるように、業務に不要と思われるカテゴリを"遮断"設定としたところ、業務で利用している一部Webサイトが使用できなくなったため、まず業務で必要かつ安全なWebサイトを確認し、そのURLを許可、それ以外のURLは遮断することにしています。
P.12下段に「URLフィルタリングとカテゴリ単位フィルタリングで同じURLが設定された場合は、URLフィルタリングによる設定が優先される」とあることから、業務で必要かつ安全なWebサイトをURLフィルタリングのホワイトリストに設定して許可し、それ以外のURLについてはカテゴリ単位フィルタリングで業務に不要なカテゴリを遮断とすることで遮断すれば良いです。
[答]
URLフィルタリング機能:ホワイトリストに業務に必要かつ安全であることを確認したURLを設定する。
カテゴリ単位フィルタリング機能:業務に不要であるカテゴリを遮断する。
P.12下段に「URLフィルタリングとカテゴリ単位フィルタリングで同じURLが設定された場合は、URLフィルタリングによる設定が優先される」とあることから、業務で必要かつ安全なWebサイトをURLフィルタリングのホワイトリストに設定して許可し、それ以外のURLについてはカテゴリ単位フィルタリングで業務に不要なカテゴリを遮断とすることで遮断すれば良いです。
[答]
URLフィルタリング機能:ホワイトリストに業務に必要かつ安全であることを確認したURLを設定する。
カテゴリ単位フィルタリング機能:業務に不要であるカテゴリを遮断する。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿