https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000009sgk-att/2022r04h_sc_pm2_qs.pdf
以下のおすすめ問題の解説となります。
良書。
[他の サーバのクラウドサービスへの移行案]
X社動画サーバの移行が完了し、CDNの利用も開始された。X社動画サーバに関する課題が解決されると、経営陣は、自社が保有する他のサーバについてもクラウドサービスへの移行を検討するようシステム部に指示した。システム部では、図6に示すクラウドサービスへの移行案を作成した。
[ SSOの現状]
X社では、Kerberos認証でSSOが実現されている。XPCからGrWサーバにアクセスする場合のKerberos認証の流れを図7に、図7中の各処理の概要を表1に示す。
次は、図7についてのCさんとF氏の会話である。
Cさん:Kerberos認証に対する攻撃はあるのでしょうか。
F氏:幾つかあります。二つ説明しましょう。一つ目は、TGT、STの偽造攻撃です。TGT又はSTが偽造されると、サーバが不正アクセスされて危険です。現在、TGTの偽造については、認証サーバ側での対策が進んでいます。一方、②STの偽造については認証サーバ側で検知することができません。
Cさん:リスクがありますね。
F氏:二つ目は、サーバ管理者アカウントのパスワードを解読して不正にログインする攻撃です。XPCからSTが奪取され、不正アクセスに悪用されても不正アクセスされる範囲は限定されます。しかし、奪取されたSTに対して サーバ管理者アカウントのパスワードの総当たり攻撃が行われ、それが成功すると、当該サーバ管理者アカウントでアクセスできるサーバが乗っ取られてしまいます。この総当たり攻撃は、③サーバ側でログイン連続失敗時のアカウントロックを有効にしていても対策になりません。
下線②について、 認証サーバ側では検知することができない理由を、30字以内で述べよ。STが認証サーバに送付されないため検証できないから
現在、TGTの偽造については、認証サーバ側での対策が進んでいます。一方、②STの偽造については認証サーバ側で検知することができません。
とあります。認証サーバの視点で考えるとTGTの検証処理は認証サーバで行いますが、
STの検証は行われません。検証処理を行っているため問題ないというのが、TGT偽造に伴う対策なのでしょう。となると、ST偽造についてできないのは、検証ができない理由を述べるとよいことになります。したがってSTが認証サーバに送付されないため検証できない
下線③について、対策にならない理由を、35字以内で述べよ
③サーバ側でログイン連続失敗時のアカウントロックを有効にしていても対策になりません
STは
サーバ管理者のパスワードのハッシュ値を鍵としてとあります。文章上サーバのアカウント名とパスワードをハックすればよさげにみえますが、これはチケットを入手し、サーバにつながず解析してしまえばよいので、アカウントロックしたところで解読は防ぐことができません。