https://www.sc-siken.com/pdf/31_haru/pm1_2.pdf
以下のおすすめ問題の解説となります。
良書。
問2 クラウドサービスの セキュリティに関する次の記述を読んで、設問1,2に答えよ。
U社は、東京に本社をもつ従業員数1,000名の商社である。複数の海外拠点を設置し、海外向けに営業展開している。海外拠点の従業員数は1拠点当たり十数名ほどである。
本社の 情報システムは、本社の情報システム部が管理しており、各海外拠点の情報システムは、現地の情報システム担当者が管理している。電子メール(以下、メールという)の送受信には、本社ではオンプレミス環境を導入しているが、海外拠点では、P社が提供するクラウドサービス型Webメールサービス(以下、メールサービスPという)を利用している。海外拠点では、全ての従業員にスマートフォンとノートPCを貸与している。
【セキュリティインシデント発生】
1月10日、送信者が海外拠点Qの従業員Sさんのメールアドレスである不審なメールを受け取ったという連絡が、Sさんとやり取りのあった本社の従業員から情報システム部にあった。情報システム部では、情報処理安全確保支援士(登録セキスペ)であるTさんが、調査を担当することになった。Tさんが当該メールのヘッダ情報を確認したところ、メールサービスPから送信されたものであった。
海外拠点Qの情報システム担当者であるYさんによれば、1月10日にSさんのアカウントからの不審な メール送信と考えられる履歴が複数残っているとのことであった。そこで、Tさんは、YさんにメールサービスPのSさんのアカウントを一時的に無効化するよう依頼した。また、会社から貸与されたSさんのスマートフォン及びノートPC並びにSさんのメールボックスには重要情報がなかったことを確認した。Tさんが、海外拠点Qの全従業員のアカウントについて、メールサービスPに残っていた全てのメール送信履歴をYさんに確認してもらったところ、Sさんのアカウント以外に不審なメールの送信履歴はないとのことであった。
【経緯の調査】
Tさんは、メールサービスPに残っていた海外拠点Qの全従業員のアカウントのメール送信履歴及び監査ログ、並びにSさんへのヒアリングの結果をYさんから送付してもらい、調査した。調査結果を図1に示す。
Tさんが調べたところ、メールサービスPはHTTP over TLSでサービスが提供されている。HTTPでアクセスした場合はHTTP over TLSのURLにリダイレクトされる仕様になっており、HSTS(HTTP Strict Transport Security)は実装されていない。
こうしたことから、TさんはSさんが不正アクセスを受けたと確信し、図2に示す手口(以下、手口Gという)を使って、攻撃者が メールサービスPのSさんの利用者IDで不正アクセスしたと推測した。
Tさんは、今回の セキュリティインシデントの調査結果を情報システム部長に報告した。情報システム部長は、会社から貸与されたノートPCをU社以外の無線LANに接続してはならないというルールの全社への周知及びメールサービスPの認証方式の強化をTさんに指示した。
①について、攻撃者が用意した無線LANアクセスポイントには何が設定されていたと考えられるか。設定を30字以内で述べよ
ホテルのWi-FiのSSIDと事前共有鍵
事前情報にあるように宿泊客はSSIDと事前共有鍵は張り出されていたとある。
攻撃者が用意した無線LANアクセスポイントには、ホテルのWi-FiのSSIDとパスワードということになるが、問題文には事前共有鍵と書かれているため、問題文に沿うと事前共有鍵となる
a:メールサービスP b:攻撃者が用意したメールサーバ
設問は以下のa,bに入るものを記述する問題
図1の情報と図2の情報を紐づけて考えていきます。
図1の調査結果から、DNSのサーバ情報をDHCPで自動設定することになっています。
FQDNとはホスト名のような名称で、IPアドレスに変換するには、DNSサーバに問い合わせる必要がある。攻撃者のWiFiに接続したお客さんは、当然攻撃者の用意したDNSサーバとWebサーバに接続させる必要があります。
正常系の動作を考えると、メールサービスPのFQDNを入れて、正しいサーバに接続する流れとなるので、aはメールサービスPが入ります。FQDNをIPアドレスに変換するために必要なIPは攻撃者のWebサーバにして情報を盗みたいので、bの答えは、Webサーバまたはメールサーバでもよいかなと思います。
Webサーバよりメールサーバのほうが具体的な回答なのでIPAの解答しだいですが
②について、この時、サーバ証明書が信頼できない旨のエラーが表示されなかったのはなぜか。メールサービスPにHSTSが実装されていないことを踏まえ、理由を20字以内で述べよ→HTTPで接続していたから
HSTSは接続を強制的にHTTPSにする方法です。午前の問によく出ます。今回実装されてなかったということで、HTTPSを利用しない接続するケースがあることが考えられます。HTTPで接続した場合は、証明書検証・暗号化を実施しないので、エラーは出ません。ブラウザのアドレスバーに保護しない通信と出るはずなので、そこに気づけば防げたかもしれませんね。