令和4年度(秋期)午後1問2の分析|情報処理安全確保支援士
riss
問題・解答は情報処理推進機構(IPA)のページからダウンロードできます。
概要
問題の要約
- U社には、プロキシサーバ、予約サーバ及び会員サーバがある。
- 予約サーバで不審なプロセス(runプロセス)が稼働し、13:07:00からCPUの稼働率を上げていた。
- 予約サーバのプロセス一覧及びコネクション一覧からrunプロセスは海外のIPアドレスからの通信であることが判明し、予約サーバをネットワークから切り離した。
- runプロセスが稼働しているTソフトには脆弱性があることが判明した。
- Tソフトが利用するライブラリXには外部オブジェクトを読み込む機能があり、攻撃者が用意したJavaクラスが実行された(脆弱性Y)。
- 予約サーバへの攻撃の流れをまとめたところ、情報処理安全確保支援士(登録セキスペ)の協力のもと、脆弱性Yは、暗号資産採掘ソフトウェアであることが判明した(クリプトジャッキング)。
- 会員サーバにおいても同様の攻撃が行われたが、Tソフトを利用していなかったため、攻撃は失敗した。
- 再発防止策として、予約サーバを起点とするインターネットへのHTTPS通信は。プロキシサーバを中継させる設定に変更した。
主な論点
- URLフィルタリング
- ホワイトリスト方式
- プロセス一覧とコネクション一覧
- FWの通信ログ
着眼点
| 問題文 |
| P8表1 予約サーバ及び会員サーバはJavaを利用している。 |
| 脆弱性 |
| スクリプトを実行することにより、外部から攻撃を受ける可能性がある。 |
| 問題文 |
| P10図2 ライブラリXはJavaのログ出力ライブラリである。ライブラリXには外部オブジェクトを読み込む機能があり、標準で有効になっている。 |
| 脆弱性 |
| ライブラリXを使用したログ出力処理の対処となる文字列中に特定の攻撃文字列が含まれる場合、攻撃者の用意したJavaクラスが実行される可能性がある。 |
情報処理推進機構(IPA)の講評
出題趣旨
日々発見される新たな脆弱性に対し、運用者が脆弱性の影響を確認し、必要な対策を行うことは重要である。しかし、全ての脆弱性が攻撃者より早く発見され、運用者が必要な対策を行えるとは限らないので、攻撃者が未修正の脆弱性を悪用するリスクについても考慮しておく必要がある。
本問では、ソフトウェアの脆弱性に起因するセキュリティインシデントへの対応を題材に、攻撃者の痕跡を調査し、影響を把握する能力及びセキュリティ侵害を前提とした適切なアクセス制御を設計する能力を問う。
採点講評
問2では、ソフトウェアの脆弱性に起因するセキュリティ侵害を題材に、攻撃の痕跡の調査から再発防止策の検討までのセキュリティインシデント対応について出題した。全体として正答率は平均的であった。
設問2(1)は、正答率は平均的であったが、プロrセスの起動順序を説明した解答が散見された。不信なプロセスの調査においては、プロセスの親子関係について調査することの必要性も認識してほしい。
設問3(1)は正答率が低かった。報告されている脆弱性情報から、実際のシステムについて影響を受ける条件を把握し、影響を評価することは、脆弱性への対処を行う上で重要なので、その手法について理解を深めてほしい。