Take's Software Engineer Blog

TOEIC200点&プロマネな私が社内公募を経て、ソフトエンジニア&英語部門へ異動して奮闘していく話をしていきます

情報処理安全確保支援士試験 令和5年度 春期 午後1 問2 その1

問2  セキュリティインシデントに関する次の記述を読んで、設問に答えよ。

https://www.ipa.go.jp/shiken/mondai-kaiotu/ps6vr70000010d6y-att/2023r05h_sc_pm1_qs.pdf


 R社は、精密機器の部品を製造する従業員250名の中堅の製造業者である。本社に隣接した場所に工場がある。R社のネットワーク構成を図1に示す。

 サーバ、FW、L2SW、L3SW及びPCは、情報システム課のU課長、Mさん、Nさんが管理しており、ログがログ管理サーバで収集され、一元管理されている。
DMZ上のサーバのログは常時監視され、いずれかのサーバで1分間に10回以上のログイン失敗が発生した場合に、アラートがメールで通知される。

FWは、ステートフルパケットインスペクション型であり、通信の許可、拒否についてのログを記録する設定にしている。FWでは、インターネットから受付サーバへの通信は443/TCPだけを許可しており、受付 サーバからインターネットへの通信はOSアップデートのために443/TCPだけを許可している。インターネットから受付サーバ及びメールサーバへのアクセスでは、FWのNAT機能によってグローバルIPアドレスをプライベートIPアドレスに1対1で変換している。
 受付サーバでは、取引先からの受注情報をDBサーバに保管するWebアプリケーションプログラム(以下、アプリケーションプログラムをアプリという)が稼働している。DBサーバでは、受注情報をファイルに変換して FTPで製造管理 サーバに送信する情報配信アプリが常時稼働している。これらのアプリは10年以上の稼働実績がある。

[DMZ上のサーバでの不審なログイン試行の検知]
 ある日、Mさんは、アラートを受信した。Mさんが確認したところ、アラートは受付サーバからDBサーバとメールサーバに対するSSHでのログイン失敗によるものだった。また、受付サーバからDBサーバとメールサーバに対してSSHでのログイン成功の記録はなかった。Mさんは、不審に思い、U課長に相談して、不正アクセスを受けていないかどうか、FWのログと受付 サーバを調査することにした。

[FWのログの調査]
 ログイン失敗が発生した時間帯のFWのログを表1に示す。

 表1のFWのログを調査したところ、次のことが分かった。

  • 受付サーバから工場LANのIPアドレスに対してポートスキャンが行われた。
  • 受付サーバから製造管理サーバに対して FTP接続が行われた。
  • 受付サーバと他のサーバとの間ではFTPのデータコネクションはなかった。
  • DBサーバから製造管理サーバに対してFTP接続が行われ、DBサーバから製造管理 サーバFTPの(a)モードでのデータコネクションがあった。

 以上のことから、外部の攻撃者の不正アクセスによって受付サーバが侵害されたが、攻撃者によるDMZと工場LANとの間のファイルの送受信はないと推測した。Mさんは、受付サーバの調査に着手し、Nさんに工場LAN全体の侵害有無の調査を依頼した。

 

a:パッシブ

DBサーバから製造管理サーバに対してFTP接続が行われ

  • DBサーバから製造管理 サーバFTPの(a)モードでのデータコネクション

FTPにはアクティブモードとパッシブモードが存在し、通信可能なポートをクライアントが教えるか、サーバが教えるかの差になります。

FWがある場合サーバ側のポートはあけており、クライアント側は閉じられることがおおいため、パッシブモードが良く使われます

差がわかるようにシーケンス図を作成しました。

利用者認証をした後のデータ転送シーケンスに違いがあることがわかります。

二つの通信モードに関する解説は下記の書籍で確認しました。

データコネクションをどちらから行う程度の説明しかなかったので、記憶に残らなかった可能性大ですね。

セキュリティの試験なのにFTPSやSFTPを利用しないというのが気になりますね。

村山先生の解説も面白いのでシェア

www.youtube.com



 

 

 

div #breadcrumb div{ display: inline;font-size:13px;}