情報処理安全確保支援士の午後問題の構成を研究する

本文　Q社とQアプリの概要
Q社は、洋服のEC事業を手掛ける従業員100名の会社である。WebアプリQというWebアプリケーションプログラムでECサイトを運営している。

図1　WebアプリQの主な機能
WebアプリQの6つの具体的な機能を示す。

本文　エラーの報告
ある日、エラーに関する問合せが寄せられた。

図2　ページVの画面レイアウト
ページVに関する画面上の説明を示す。

図3　ページVのHTML
ページVのHTMLソース（セキュアプログラミング）

本文　手がかりの発見
HTMLに長いスクリプトが埋め込まれていることに気付いた。影響を調査するために、スクリプトを抽出した。

図4　スクリプト
スクリプトのソース（セキュアプログラミング）

本文　原因の特定
クロスサイトスクリプティングの脆弱性があることを確認した。加えて、WebアプリQがcookieにHttpOnly属性を付与していないこと及びアップロードされた画像ファイルの形式をチェックしていないことも確認した。

本文　必要な対応
必要な対策を施し、会員への必要な対応も行った。

本文　M社とセキュリティ対策の概要
M社は、アパレル業を手掛ける従業員100名の会社である。セキュリティ対策として、情報漏えい対策ソフトを導入した。M社のオフィスビルには、執務室と会議室があり、従業員用無線LANと来客用無線LANがある。

図1・表1　M社のネットワーク構成・構成要素
M社のネットワーク構成図と構成要素の概要を示す。

表2～表5　M社のセキュリティルール、通信機器の設定
M社のセキュリティルール、FWのVLANインタフェース設定、FWのフィルタリング設定、無線アクセスポイントの設定を示す。

本文　登録セキスペのレビュー
ファイルの持出しのセキュリティ対策について、登録セキスペの支援を受けた。

本文　脆弱性の発見
社外の攻撃者による来客用無線LANの脆弱性と従業員によるファイルの持出しのリスクを検討した。

本文　対策の検討
上記の脆弱性に対して対策を検討した。

本文　対策の実施
ほかにも必要な対策を検討し、これらの対策と併せて実施した。

本文　S社とサービスの概要
S社は、Nサ－ビスという継続的インテグレーションサービスを提供している従業員400名の事業者である。

表1　Nサービスの機能の概要
Nサービスのソースコード取得機能・コマンド実行機能・シークレット機能の概要を示す。

表2・図1　Nサービスの構成要素の概要とフロントエンドが行う処理
Nサービスの構成要素（フロントエンド・ユーザーデータベース・バックエンド・仮想ネットワーク）の概要とフロントエンドの処理内容を示す。

本文　不正なコマンド処理
不正なコマンド処理による脆弱性がある。そこで、バックエンドには監視ソフトウェア製品Ｘを導入し、不正な処理を実行するプロセスを停止させている。

本文　ワンタイムパスワードの導入
クラウド管理サイトへのログイン時にワンタイムパスワード（TOTP）を設定している。

本文　インシデントの発生
国外のIPアドレスからクラウド管理サイトにログインがあった。

本文　脆弱性の発見
バックエンドのうち1台では、管理者権限をもつ不審なプロセス（プロセスY）が稼働していた。プロセスYは、監視ソフトウェアに検知されないようにSNIを偽装していた。

図2　事後処理と対策
事後処理と対策の内容を示す。

本文　P社とサービスの概要
Nサービスの顧客企業の一つに、従業員1,000名の資金決済事業者であるP社がある。P社は、決済用のアプリ（Pアプリ）をJストアを通じて提供している。

本文・表3・図3　Jストアの概要
Jストアへのアプリのアップロードについて、REST APIやコードサイニング証明書の技術を用いている。

本文　問題の発生
ソースコード及びシークレットが漏えいしたおそれがあるとの通知を受信した。

本文　初動対応
上記の通知の受信後、すぐに２つの対応を行った。

本文　事後対応
新たなコード署名を付与するなど、その後の対応を行った。

本文　G百貨店の概要と事業内容
G百貨店は、国内5店舗を営業している。G百貨店では、菓子類Fの配送と在庫管理をW社に委託している。W社は従業員100名の地域運送会社である。G百貨店では、贈答品の受注情報を、Sサービスという受注管理SaaSに登録している。

図1　W社の配送業務におけるデータの流れ
Sサービス→W社→配送管理SaaSのデータの流れを示す。

本文　WサービスによるSサービスの利用方法
G百貨店は、SサービスのアカウントをW社に貸与している。また、SサービスとW社の各システムは連携しておらず。W社の配送管理課員が参照して在庫管理サーバ及び配送管理SaaSに入力している。

本文　リスクアセスメントの開始
G百貨店は、全ての情報資産を対象としたリスクアセスメントを実施するため、セキュリティコンサルタンティング会社E社に作業を依頼した。

表1　Sサービスの仕様とG百貨店の設定状況
図2　W社のネットワーク構成
表2　W社の情報セキュリティの状況
リスクアセスメントの実施に当たり、現在の状況をそれぞれ図表で示す。

図3　リスクアセスメントの手順
表3　リスクレベルの基準
リスクアセスメントの手順やリスクレベルの基準を示す。

表4　リスクアセスメントの結果
図3及び表3のとおり実施したリスクアセスメントの結果を示す。

本文　リスクの管理策の検討
リスクアセスメントの結果報告を受け、G百貨店はE社にリスクの管理策の検討を依頼した。

表5　追加すべき管理策の検討結果
E社による追加のリスク管理策の検討結果を示す。

本文　管理策の実施
追加すべき管理策の検討結果を受け、G百貨店とW社は、幾つかの管理策を実施した。

本文　G社の概要
G社は、システム開発を行う従業員100名のSI企業である。このたび、オフィス用品を販売する従業員200名のY社から、システム開発を受注した。

本文　受注したシステムの概要
システムの3つの機能を示す。

図1　ツールによるソースコードの静的分析
表1　静的解析の結果
図2　納品書PDFダウンロードクラスの修正後のソースコード
ソースコードの静的分析の結果、一部に指摘があり、プログラムを修正した（セキュアプログラミング）。

本文　システムテスト
次に、システムテストを開始したところ、不具合が見つかった。

図3　注文情報照会機能が参照するデータベースのE-R図
図4　ビジネスロジッククラスのソースコード
図5　サーブレットクラスのソースコード
各種ソースコードを示す（セキュアプログラミング）。

本文　
各種ソースコードを示す（セキュアプログラミング）。

本文　技術課への協力要請
技術課のHさんは、不具合の原因を特定した。

図6　ビジネスロジッククラスの修正後のソースコード
図7　サーブレットクラスの修正後のソースコード
修正後のソースコードを示す。ソースコードの修正後、システムがリリースされた。

本文　R社の概要
R社は、機密機器の部品を製造する従業員250名の中堅の製造業者である。

図1　R社のネットワーク構成
R社のネットワーク構成を示す。

本文　各種機器の説明
サーバ及びFWの機能を示す。

本文　不審なログイン試行の検知
ある日、Mさんは、アラートを受信した。Wさんが確認したところ、アラートは受付サーバからDBサーバとメールサーバに対するSSHでのログイン失敗によるものであった。

表1　FWのログ
FWのログから、外部の攻撃者の不正アクセスによって受付サーバが侵害されたが、攻撃者によるファイルの送受信はないと推測した。

表2　psコマンドの実行結果
表3　netstatコマンドの実行結果
2つのコマンドの実行結果から、攻撃ツールの特徴が分かり、受付サーバをネットワークから切断するよう指示した。

図2　DNSサーバから取得されたリソースデータ
DNSサーバのリソースデータから、暗号資産マイニングの実行プログラムが仕掛けられていたことが分かった。

本文　対策の実施
システムの復旧に向けた計画を策定し、過去に開発されたアプリ及びネットワーク構成をセキュリティの観点で見直すことにした。

本文　D社の概要
D社は、従業員1,000名の小売業である。自社のWevアプリケーションプログラム（Webアプリ）に対する診断を専門会社のZ社に委託して実施している。

図1　サイトX、サイトY及びサイトPのネットワーク構成
図2　サーバやサービスの説明
表1　サイトXの機能一覧
ネットワーク構成、サーバ、サービス、サイトXの機能一覧を示す。

図3　本文
クロスサイトスクリプティング、クロスサイトリクエストフォージェリ、許可制御の不備が検出された。

図3　問合せ機能のリクエストとレスポンス
クロスサイトスクリプティングを検出したHTTPリクエスト及びレスポンスを示す。

図4　会員機能（編集）のリクエスト
表2　リクエスト内のメッセージボディと応答
クロスサイトリクエストフォージェリを検出したHTTPリクエストを示す。

図5　利用者αで注文履歴を閲覧した際のリクエスト
図6　利用者βで注文履歴を閲覧した際のリクエスト
認可制御の不備を検出したHTTPリクエストを示す。

図7　利用者のWebブラウザがWebサーバYに送るリクエスト
サーバサイドリクエストフォージェリを検出したHTTPリクエストを示す。

本文　脆弱性の対策
リリース前の脆弱性診断で検出された脆弱性の対策が全て完了し、サイトXとサイトYは稼働を開始した。

本文　A社の概要
A社は、加工食品の製造・販売を行う従業員500名の会社である。問屋や直売店からの注文の受付に、商品の注文と在庫を管理するシステム（業務システム）を利用している。このたび、個人顧客から注文を受けるためのWebシステム（Web受注システム）を構築することになった。

表1　Web受注システムの要件
Web受注システムの要件を示す。

表2　OSアカウントの一覧
表3　所属グループとその権限
Web受注システムのサーバに定義されるOSアカウント、所属グループ、権限を示す。

表4　データ連携機能のプログラムの一覧
図1　No.3のプログラムの内容
業務システムとWeb受注システムの連携機能を示す。

本文　セキュリティレビュー
情報処理安全確保支援士（登録セキスペ）のE氏は、セキュリティレビューを実施した。
レビューの結果、問題を発見し、その対策を提案した。

図2　UserDataクラスのプログラム仕様
図3　UserDataクラスのソースコード（抜粋）
本文　ソースコードの指摘
ソースコードについてE氏が指摘を行い、ソースコードを修正した。

図4　修正後のUserDataクラスのソースコード（抜粋）
本文　修正後のソースコードの指摘
修正後のソースコードについてE氏再度指摘を行い、ソースコードを修正した。

本文　リリース
A社は、E社の指摘の対応を完了した。その後、テストを実施し、Web受注システムをリリースした。

本文　L社とE社のSaaSの概要
L社は、従業員100名のソフトウェア開発会社である。L社はE社のSaaSを使用している。

図1　L社のネットワーク構成（抜粋）
表1　図1の各構成要素の仕様、機能及び利用方法（抜粋）
L社のネットワーク構成などを示す。

図2　Fツールの概要（抜粋）
表2　Fツールの出力ファイル
L社が開発するFツールの詳細を示す。

本文　アラートメールの受信
PC-Aがベンダー拒否リストのURLにアクセスした。そこで、Fツールを実行し、Fツールの出力ファイルとプロキシサーバの通信ログを調査した。

表3・表4　PC-Aの出力ファイル
表5　プロキシサーバの通信ログ
それぞれの内容を示す。

図3　暫定対策と追加調査
上記の調査を受け実施した暫定対策と追加調査の内容を示す。

図4　C社の解析結果
PC-Aの調査内容に基づきセキュリティ専門会社に依頼した調査の解析結果を示す。

表6　攻撃者による目的実行までの活動を阻止するための技術的対策
暫定対策以外の技術的対策を示す。

本文　必要な対応
言語、表6中の技術的対策について、技術的対策の計画立案を進めることにした。

本文　A社の概要
A社は、従業員1,000名の工作機械製造会社である。

図1　A社のネットワーク（抜粋）
表1　構成要素の機能（抜粋）
表2　第三者の中継防止のためのルール
メールサーバの詳細について示す。

本文　ドメイン名の変更についての検討
ドメイン名変更の検討内容を示す。

表3　送信対応方針
表4　受信対応方針
対策の内容を示す。

本文　メールサービスの機能の検討
表5　Uサービスの機能の概要（抜粋）
機能の概要を示す。

図2　Z-Webサイト及びUサービスの移行手順の検討
図3　Uサービスへの移行手順
移行手順の内容を示す。

本文　送信対応の設定内容についての検討
表6　タグの内容（抜粋）
SPFレコード及びDKIMレコードの検討内容について示す。

図4　DMARCレコード
DMARCレコードを利用した対策について示す。

本文　A社ドメイン名の契約についての検討
表7　A社ドメイン名の悪用例
A社ドメインの契約について、悪用例を示す。

本文　契約の継続
図5　SPFレコード
契約継続の検討内容及びSPFレコードの設定内容を示す。

本文　Sサービスへの移行の見直し
図6　メールの一斉配信の説明
一斉配信メールについての課題を示す。

図7　メーリングリストの説明　
図8　N主任の説明
メールの設定内容を示す。

本文　Z-Webサイト及びUサービスへの移行の完了
Z-Webサイト及びUサービスへの移行は、順調に進み、完了した。

本文　J社の概要及びECサイトの構成
J社は、インテリアを扱うECサイトを運営する、従業員200名の会社である。Webアプリケーションプログラム（WebアプリP)の開発、保守などをV社に委託している。J社ECサイトでのクレジットカード決済はD社の決済代行サービスを利用している。

表1　商品購入に関する画面の概要（抜粋）
図1　商品購入に関する画面遷移
商品購入に関する画面に関する事項を示す。

本文　利用者からの問合せ
6月11日から12日にかけて、クレジットカード情報を入力する画面が2回表示されるという問合せ、及び支払方法が勝手にクレジットカード決済になってしまうという問合せがあった。

表2　Webサーバのアクセスログ
Webサーバのアクセスログを示す。

本文　アクセスログに関する会話
偽フォームの表示が可能な攻撃の痕跡の有無について検証した。

図2　整形後のファイルK
図3　配送先・支払方法選択画面のHTMLソース
図4　V社からの調査結果及び対象の報告
置き換えられたファイルと書き換えられたHTMLを示す。また、委託先のV社からの調査結果及び対象の報告を示す。

本文　クレジットカード情報の漏えいの調査と対策
クレジットカード情報の漏えいの可能性と対象者について検証した。

本文　対策の実施
被害者候補を特定し、その情報を基に案内を出した。また、J社は、関係当局に報告、届出を行うとともに、V社と協力して再発防止策を検討し、実施した。さらに、Webサーバのファイルの改ざん検知を行うことにした。

本文　B社の概要
B社は、セキュリティ診断サービスを提供している会社である。このたび、転職支援サービスを提供しているM社から、転職支援Webサイト（Mサイト）のセキュリティ診断を受注した。

図1　診断対象と診断方法
図2　WebAPIの仕様
図3　画面遷移図
表1　各画面のURL
診断対象と診断方法を示し、Mサイトの設計書の中で参照した部分を示す。

表2　Webサーバのアクセスログ
Webサーバのアクセスログを示す。

本文　アクセスログに関する会話
偽フォームの表示が可能な攻撃の痕跡の有無について検証した。

図4　診断報告書
B社による診断報告書を示す。

本文　セキュリティ診断の完了
B社は、M社に診断報告書を提出し、セキュリティ診断を完了した。