問2 セキュリティインシデントに関する次の記述を読んで、設問に答えよ。
https://www.ipa.go.jp/shiken/mondai-kaiotu/ps6vr70000010d6y-att/2023r05h_sc_pm1_qs.pdf
R社は、精密機器の部品を製造する従業員250名の中堅の製造業者である。本社に隣接した場所に工場がある。R社のネットワーク構成を図1に示す。
サーバ、FW、L2SW、L3SW及びPCは、情報システム課のU課長、Mさん、Nさんが管理しており、ログがログ管理サーバで収集され、一元管理されている。
DMZ上のサーバのログは常時監視され、いずれかのサーバで1分間に10回以上のログイン失敗が発生した場合に、アラートがメールで通知される。
FWは、ステートフルパケットインスペクション型であり、通信の許可、拒否についてのログを記録する設定にしている。FWでは、インターネットから受付サーバへの通信は443/TCPだけを許可しており、受付 サーバからインターネットへの通信はOSアップデートのために443/TCPだけを許可している。インターネットから受付サーバ及びメールサーバへのアクセスでは、FWのNAT機能によってグローバルIPアドレスをプライベートIPアドレスに1対1で変換している。
受付サーバでは、取引先からの受注情報をDBサーバに保管するWebアプリケーションプログラム(以下、アプリケーションプログラムをアプリという)が稼働している。DBサーバでは、受注情報をファイルに変換して FTPで製造管理 サーバに送信する情報配信アプリが常時稼働している。これらのアプリは10年以上の稼働実績がある。
[DMZ上のサーバでの不審なログイン試行の検知]
ある日、Mさんは、アラートを受信した。Mさんが確認したところ、アラートは受付サーバからDBサーバとメールサーバに対するSSHでのログイン失敗によるものだった。また、受付サーバからDBサーバとメールサーバに対してSSHでのログイン成功の記録はなかった。Mさんは、不審に思い、U課長に相談して、不正アクセスを受けていないかどうか、FWのログと受付 サーバを調査することにした。
[FWのログの調査]
ログイン失敗が発生した時間帯のFWのログを表1に示す。
表1のFWのログを調査したところ、次のことが分かった。
- 受付サーバから工場LANのIPアドレスに対してポートスキャンが行われた。
- 受付サーバから製造管理サーバに対して FTP接続が行われた。
- 受付サーバと他のサーバとの間ではFTPのデータコネクションはなかった。
- DBサーバから製造管理サーバに対してFTP接続が行われ、DBサーバから製造管理 サーバにFTPの(a)モードでのデータコネクションがあった。
以上のことから、外部の攻撃者の不正アクセスによって受付サーバが侵害されたが、攻撃者によるDMZと工場LANとの間のファイルの送受信はないと推測した。Mさんは、受付サーバの調査に着手し、Nさんに工場LAN全体の侵害有無の調査を依頼した。
a:パッシブ
DBサーバから製造管理サーバに対してFTP接続が行われ
FTPにはアクティブモードとパッシブモードが存在し、通信可能なポートをクライアントが教えるか、サーバが教えるかの差になります。
FWがある場合サーバ側のポートはあけており、クライアント側は閉じられることがおおいため、パッシブモードが良く使われます
差がわかるようにシーケンス図を作成しました。
利用者認証をした後のデータ転送シーケンスに違いがあることがわかります。
二つの通信モードに関する解説は下記の書籍で確認しました。
データコネクションをどちらから行う程度の説明しかなかったので、記憶に残らなかった可能性大ですね。
セキュリティの試験なのにFTPSやSFTPを利用しないというのが気になりますね。
村山先生の解説も面白いのでシェア