平成31年度 春期試験 午後Ⅱ問題対策① ―問1【設問1～3】

はじめに

セキュリティインシデントの発生件数は留まることなく、依然として社会の脅威として猛威を振るっています。インシデントのきっかけとして、OSやアプリケーションの脆弱性を悪用したサイバー攻撃や、マルウェア感染を用いたサイバー攻撃、あるいはこれらを組み合わせたものが多く見られます。

情報処理安全確保支援士試験でも、脆弱性管理やマルウェア感染とその対策に関する出題は頻出しています。脆弱性の適切な管理とはどうすればよいのか、マルウェアにはどのように立ち向かうべきか、インシデントが発生した時にはどのように対応するべきか、これらに適切に対応するには数々の知識・技術を組み合わせた総合力が必要とされます。しっかりと整理して問題に挑めるようにしましょう。

今回は、午後Ⅱ問題全般の対策として、平成31年度 春期試験 午後Ⅱ問題 問1について今回と次回の2回に渡って解説します。

午後Ⅱ問題にどのように挑むべきか

午後Ⅱ問題は非常に広範囲な内容が出題され、求められる知識レベルも高いです。

とはいえ、問題文中には多くのヒントが散りばめられており、よく読むことで解答の手がかりを得られる場合も多いです。ただし、120分で1問という時間配分でおよそ10ページの問題文を読み込むには、120分が長いようで短いと感じる方も多いと思います。知識があれば解ける問題をスピーディに解答し、問題文をよく読まないといけない問題に時間を使えるようにする必要があります。

知識は武器になる

問題文中では、既存の標準的な技術の説明をしているケースも多く見られます。セキュリティに関する各技術に明るければ、これらの説明は軽く読むだけで理解できるでしょう。また、インシデントの対応や脆弱性の対応など、大まかな流れはほとんどの場合で標準的な手法があるため、一般的な対応策をイメージできていれば、問題文の理解にそれほど時間をかけずとも、問題概要を読み取れるでしょう。したがって、多くの技術・知識を備えておくことは午後Ⅱ問題の対策、とりわけ問題文の読解対策としても非常に有効です。

また、午後Ⅱ問題では、キーワードを知らないと解答できない、技術用語を問う記述問題もよく出題されます。特殊なキーワードではなく基本的な知識を問われることが多いですが、こちらも曖昧な知識では解答できないため、セキュリティに関する技術の正しい理解が欠かせません。時事キーワードが出題されることも多いため、世の中の最新動向にも目を光らせておきましょう。

長文読解に向けて

午後Ⅱ問題は長文読解が鍵になりますが、[～]の単位で囲まれた範囲ごとにある程度各設問のテーマはしぼられています。各設問と[～]のタイトルからテーマに検討をつけて、その範囲内の文章を中心に読み進めていくと、スムーズに解答できるケースも多いでしょう。ただし、ストーリー仕立ての問題の特性より、そこまでの調査の流れや、各図表の情報を読み取らないと解答できないケースも多く見られるので注意が必要です。

問題文の長さの関係から図表が多いのも特徴です。図表には多くの情報がまとめられており、解答に直接関係することも少なくありません。細部まで読み込まないと判断できない場合もあるため、気になるポイントはマーキングをするなり、どこの文章と関係が深いかを線でつなぐなり、自分なりの方法で速やかに必要な情報を得られる工夫をすることもお勧めです。

前述したように「知識が重要」ですが、該当の知識を持っているうえで問題文を読解し、問題文中のケースとして最適な答えを導くことが求められます。知識があることは前提として、問題文のケースにどのように適応させて解答するかは、しっかりと読み込まなくてはなりません。実際の現場でも、技術を知っているだけでは対応できず、要件や環境、状況に合わせて適切な対応を取らなくてはなりません。まさに実践的な対応が、現場と同様に午後Ⅱ問題でも求められていると言えるでしょう。

平成31年度 春期試験 午後Ⅱ問題 問1の解説

平成31年度 春期 情報処理安全確保支援士試験 解答例の出題趣旨に、「本問では, 無線LANの脆弱性を題材に, 攻撃手法と脆弱性を理解する能力, 及び対策を立案し, 効果を評価する能力を問う」と記述されています。

また、問題文のタイトルには「マルウェア感染と対策に関する～」と記述されているため、実際にインシデントが発生した環境下において、脆弱性を中心に様々なセキュリティ技術について考える必要がある問題といえます。

各設問では、個々の技術として、攻撃手法、認証技術、暗号技術、無線LAN、ディジタルフォレンジックスなど、午前／午後でも頻出のテーマが扱われています。各技術がどのように活用されるかの例ともいえるため、本問題を通じて、なぜこういった技術を知っておく必要があるのかもイメージしやすいと思います。

今回は、設問1～3について解説します。

※以下の解説では、問題文中のページ数を「Pxx」、図や表を「問題文中の図x、表x」と記します。

問題の概要と設問の対応

主な登場人物

R課長：N社のCSIRTリーダ。指示・検討を担う
P君：N社のCSIRTメンバ。本問の主人公
W主任：情報処理安全確保支援士(登録セキスペ)。P君を支援する
Bさん：N社総務部。利用者IDが不正に利用された

設問1

[インシデント発生] についての設問です。

P4最終行より、「まず【 a 】のログを確認してN社から当該通信が発信されていたとの確証を得た後, 通信を開始した端末を特定するために【 b 】のログを確認した。その結果, 問合せ用PCからC&Cサーバに向けてHTTPSと思われるセッションが確立していたことが確認できた」と記述されています。

ここでは【 a 】【 b 】に入れる最も適切な機器名が問われており、どちらもログを取得する機器であることが、上述から読み取れます。

まず、【 a 】について考えてみましょう。上述の「当該通信」とはP4の表3に記されている通り、セキュリティ情報共有団体から提供された「N社からC&Cサーバへの通信記録」であり、【 a 】のログから、この通信が発信されていたことの確証を得る必要があります。N社内部から外部への通信記録はFW(ファイアウォール)が考えられますが、本問では「FW1」と「FW2」のどちらが該当するかを考える必要があります。

P3表1では「FW1」のルール、P4表2では「FW2」のルールが記載されています。「FW2」は項番1より、内部IPからインターネットへの直接の通信を全て拒否しており、「FW1」では項番8からDMZ上のプロキシサーバからインターネットへのHTTPS通信を許可していることがわかります。それぞれの通信の全てのログも取得しているため、「FW1」のログを確認することで、N社からインターネット上のC&Cサーバへ通信がされていたかを確認できます。

続いて【 b 】について考えてみます。内部の端末からC&Cサーバに向けてHTTPS通信を開始した端末を特定できるログを持つ機器とは何かを突き止める必要があります。

関係する記述を以下にまとめます。

• P4表3 ⇒ 送信元IPアドレスがプロキシサーバである
• P3表1の項番8 ⇒ 宛先がインターネットである場合、HTTPSサービスを許可するのはプロキシサーバだけである
• P4表2の項番2 ⇒ 内部IPからプロキシサーバへの代替HTTP(ポート番号80、443の代わりに用いる)は全て許可されている
• P3の5行目 ⇒ 「プロキシサーバでは, 各機器からの全てのアクセスについて, アクセスログを取得している」

これらの記述より、内部からインターネット上のC&CサーバへHTTPS通信をする場合、プロキシサーバを経由し、かつプロキシサーバではそのログが取得されていることがわかります。従って、解答は【 a 】：FW1、【 b 】：プロキシサーバです。

多くの場合、不正な通信の有無はファイアウォールやプロキシサーバのログを見ることで確認できます。通常、内部端末の特定(厳密にはプロキシサーバのログではIPアドレスを特定するため、DHCP環境ではDHCPサーバのログも見ることではじめて端末が特定できる場合もあります)にはプロキシサーバのログから、プロキシサーバから外部への通信はファイアウォールのログから読み取れます。ただし、ファイアウォールやプロキシサーバの設定や配置により取得できるログ情報は変わってしまうため、問題文中におけるファイアウォールやプロキシサーバの設定に関する記述は確実に押さえておきましょう。

設問2

[問合せ用PCの調査] についての設問です。

P5の7行目下線部①に、コピーは「ファイル単位ではなくセクタ単位で全セクタを対象とした」と記述されています。この単位でコピーしないと取得できない内容と、調査の手段を解答します。

セクタとはHDD本体が管理する最小単位です。一般的にPCなどのファイルは、セクタが組み合わさったクラスタと呼ばれる単位で扱われます。このクラスタごとにファイルデータを管理するため、インデックスと呼ばれる目次のようなものが別途管理されています。データを削除した場合、クラスタ内のデータそのものがなくなるわけではなく、データを読み出すためのインデックス情報が削除されます。

また、HDDのコピーを行う際には、ファイル単位でコピーすると削除された情報はコピーできません。一方で、セクタ単位でコピーすると、上述の通り、データそのものは削除されていないため、削除された(と見える)データもコピーすることができます。

本設問では、問合せ用PCからC&Cサーバへ通信がなされていることが確認されているためマルウェア感染が疑われ、その痕跡を突き止めるために問合せPCを調査しようとしています。痕跡は既に削除されたデータに含まれる可能性もあるため、削除された情報からファイルを復元することが求められます。

従って、解答例は「【内容】削除されたファイルの内容、【手段】空きセクタの情報からファイルを復元する」です。

平成31年度 春期 情報処理安全確保支援士試験 採点講評にも記載されていますが、マルウェアに感染していた場合、マルウェアは発見されないように自らの動作や存在の痕跡を消去することが多いですが、それらの消去されたファイルなども原因究明やインシデントレスポンスにおいて重要な手がかりとなる場合が多いです。このような証拠保全からの調査解析に関わる手段や技術をディジタルフォレンジックスと呼びます。

設問3

[無線LANの脆弱性] についての設問です。

(1)
P6の下線部②に「WPA2を使用していても, 無線LANの通信が傍受されてしまうとBさんが利用しているタブレットPCのMACアドレスを攻撃者が知ることができる」と記述されています。なぜ知ることができるのか、その理由を解答する問題です。

WPAで採用されているTKIPという暗号方式、WPA2で採用されているCCMPという暗号方式では、それぞれデータ部分の暗号化を行うため、MACアドレスは暗号化の対象ではありません。

従って、解答例は「MACアドレスが平文の状態で送信されるから」です。

暗号化技術は暗号化の範囲を意識しないと、守っているつもりで守れていないという事態が発生する恐れがあります。情報処理安全確保支援士試験の範囲でも多くの暗号化技術が出てきますが、それぞれ暗号化範囲は決まっています。各技術の特徴をしっかりと押さえ、何ができるのか、何を守れるのかを確実にすることが大切です。

(2)
P6の下線部③に「攻撃者が, 自分の無線LAN端末を総務部のW-APに接続可能にする方法」と記述されています。この具体的な方法を解答する問題です。

P2の最終行付近に「W-APでは, 不正な端末の接続を防ぐための対策として, 次の機能を使用している。・登録済みMACアドレスをもつ端末だけを接続可能とする接続制御」と記述されています。これは、W-APでいわゆるMACアドレスフィルタリングと呼ばれる対策を行っていることを示します。この対策は正当な端末のMACアドレスを攻撃者になりすまされることで破られる恐れがあります。

設問3(1)の解説より、MACアドレスは傍受される恐れがあります。もし傍受などでMACアドレスが攻撃者に不正に取得されてしまうと、W-APに登録された正当なMACアドレスを知られてしまいます。このMACアドレスを攻撃者の用意した無線LAN端末に設定されると、W-APは不正な無線LAN端末のMACアドレスから、登録済みの端末だと認識してしまいます。

従って、解答例は「端末の無線LANポートのMACアドレスを、総務部のW-APに登録済みのMACアドレスに変更する」です。

MACアドレスフィルタリングは一定の効果を期待できますが、本設問のように突破が比較的容易な無線LANセキュリティ対策です。正当な端末だけを接続させたい場合は「認証」が必要となるため、本問題でも対策案として記載されていますが、IEEE 802.1X認証などを適切に組み合わせることが求められます。

おわりに

今回は午後Ⅱ問題全体の対策と、平成31年度 春期試験 午後Ⅱ問題 問1の設問1～3を解説しました。

午後Ⅱ問題は様々な技術が組み合わさって出題されているので、一つ一つの知識・技術を確実なものにすることが重要です。文章量が多く非常にハードではありますが、問題の形式や必要とされる知識・技術は午後Ⅰ問題と変わりません。午後Ⅰ試験対策で培った力はそのまま有効になるため、過去問題を中心に学習し、確実に解ける問題を増やしていけると良いでしょう。

次回はいよいよ最終回です。引き続き平成31年度 春期試験 午後Ⅱ問題 問1の設問4以降を解説していきます。