令和6年度(春期)問3の分析|情報処理安全確保支援士
riss
未経験の文系で情報処理安全確保支援士に受かる
令和5年度(秋期)問3の分析|情報処理安全確保支援士
riss
問題・解答は情報処理推進機構(IPA)のページからダウンロードできます。
1
Summary
概要
問題の要約
Nサービスの概要
- Nサービスの利用者は、バージョン管理システム(VCS)にコミットしたソースコードを自動的にコンパイルするなどの目的で、Nサービスを利用する。
- Nサービスには、ソースコードの取得機能、コマンド実行機能、シークレット機能がある。
- Nサービスはフロントエンド、ユーザーデータベース、バックエンド、仮想ネットワークから構成されている。
- N社は、C社が提供するクラウド管理サイト上で、Nサービスの構成要素の設定変更などを行っている。クラウド管理サイトへのログインにはワンタイムパスワード(TOTP)を利用している。
インシデントの発生とその対応(不正アクセス)
- 国外のIPアドレスからクラウド管理サイトにログインがあったことに気付いた。
- 原因を特定し、事後処理と対策を講じた。
PアプリのJストアへのアップロード
- Nサービスの顧客企業の一つであるP社はPアプリを提供しており、Jストアにアップロードしている。
- Jストアはコードサイニング証明書の取得と対応する署名鍵によるコード署名の付与を求めている。
- P社は、Nサービスのソースコード取得機能に、Pアプリのソースコードを保存しているVCSのホスト名とリポジトリの認証用SSH鍵を登録している。
- P社は、Nサービスのシークレット機能に2つのシークレットを登録している。
インシデントの発生と対策
- ソースコードとシークレットが漏えいした。
- 2つの対応を行うとともに、リポジトリの認証用SSH鍵を無効化した。
- 新たにソースコードをコンパイルし、Jストアにアップロードした。
- Pアプリ利用者にとるべき対応について告知した。
主な論点
- コンテナによる仮想化
- ワンタイムパスワード(TOTP)
- 証明書の透過性(CT)
- WebAuthn(WebAuthentication)
- コードサイニング
2
Point Of Focus
問題の着目点
| 問題文 |
| P18 ・ワンタイムパスワード(TOTP)を、クラウド管理サイトへのログイン時に入力するように設定している。 ・Uさんは、メール中のURLを開き、クラウド管理サイトだと思ってログインを試みていた。 |
| 脆弱性 |
| 偽サイトに入力されたTOTPを入手し、そのTOTPが有効な間(1分程度)にログインされる可能性がある。(設問2(1)) |
| 対策 |
| 偽サイトでログインを試みてしまても、クラウド管理サイトに不正ログインされることのないよう、クラウド管理サイトにログインする際の認証をWebAuthn(webAuthentication)を用いた認証に切り替える。(図2) WebAuthnとは、認証に用いる情報に含まれるオリジン及び署名をサーバが確認する仕組みをいう。(設問2(5)) |
| 問題文 |
| P18 RFC9162に規定された証明書発行ログ中にNサービスのドメインのサーバ証明書を検索したところ、正規のもののほかに、N社では利用実績のない認証局Rが発行したものを発見した。 |
| 脆弱性 |
| 他の認証局が発行したNサービスのドメインのサーバ証明書が偽サイトに利用されることで、偽サーとにアクセスしても、ブラウザは正規のサイトであると認識してしまう。 |
| 対策 |
| ・認証局Rに対し、Nサービスのドメインのサーバ証明書が勝手に発行されていることを伝え、その失効を申請する。(図2) ・Certificate Transparency(CT)を導入する。これは、認証局が、サーバ証明書発行時にCTログサーバに発行の事実を登録するとともに、CTログサーバが発行したSCT(Signed Certificate Timestamp)をサーバ証明書に同梱して署名することで、サイト運営者は意図せず発行された不審なサーバ証明書を発見することができるしくみである。(設問2(2)) ・Nサービスのドメインのサーバ証明書を発行できる認証局を限定するために、Nサービスのドメインの権威DNSサーバに、Nサービスのドメイン名を対応するCAAレコードを設定する。(図2、設問2(6)) |
| 問題文 |
| P19 監視ソフトウェアに検知されないようにSNI(Server Name Indication)を偽装していた。 HTTPヘッダーでは別のドメイン名が指定されていた。 |
| 脆弱性 |
| TLSハンドシェイクにおいて、接続先サーバとして信頼のあるドメイン名をSNIに設定することで、安全な通信であると判断される可能性がある。(P19) |
| 問題文 |
| P21 Pアプリのソースコードとシークレット(コード署名の付与に利用する署名鍵とコードサイニング証明書、Jストアにアプリをアップロードするための認証用APIキー)が漏えいした。 |
| 脆弱性 |
| 漏えいした有効なコード署名が付与された偽のPアプリがJストアにアップロードされる可能性がある。(設問3(1)) |
| 対策 |
| 認証用APIキーをJ社のWebサイトから削除し、Jストアにアップロードできないようにする。(設問3(2)) これにより、利用者はPアプリを起動できなくなる可能性があるため、Pアプリのアップデートをお願いする。(設問3(4)) |
3
IPA's Commentary
情報処理推進機構(IPA)の講評
出題趣旨
クラウドサービスが広く浸透している。様々なクラウドサービスの利用は、組織に多くの利便性をもたらす一方で、クラウドサービスで発生したインシデントが、自組織にも影響を及ぼし得る。このようなインシデントが発生した場合、迅速に状況を把握し、影響を考慮して対処することが重要である。
本問では、継続的インテグレーションサービスを提供する企業とその企業とその利用企業におけるインシデント対応を題材に、攻撃の流れと波及し得る影響を推測し、対策を立案する能力を問う。
採点講評
問3では、継続的インテグレーションサービスを提供する企業とその利用企業におけるセキュリティインシデント対応を題材に、クラウドサービスを使ったシステムを起こりうる攻撃手法とその防御について出題した。全体として正答率は平均的であった。
設問1は、正答率がやや低かった。コンテナにおけるシステムの動作は、仮想化技術の基本である。どのような権限や仕組みによって実行されるか、コンテナを使ったシステム構成及び特性をよく理解してほしい。
設問2(5)は、正答率が低かった。WebAuthnをクライアント証明書認証やリスクベース認証などほかの認証方法と誤認した解答が多かった。WebAuthはフィッシング耐性がある認証方法である。Passkeyという新たな方法も登場し、普及し始めている。ほかの認証方法とどのように異なるのか、技術的な仕組みを含め、よく理解してほしい。
設問3(3)は、正答率がやや低かった。"電子署名を暗号化できる"、”秘密鍵が漏えいしても安全である"などといった、暗号技術の利用方法についての不正確な理解に基づく解答が散見された。HSMを使うセキュリティ上の利点に加えて、暗号技術の適正な利用方法についても、正確に理解してほしい。