Szarny.io

There should be one-- and preferably only one --obvious way to do it.

応用情報技術者試験 平成29年春期 午後問題解説 - セキュリティ分野

解説

設問1

a ク (水飲み場型)
b エ (Webページ)
c ウ (URLフィルタリング)
f カ (ブルートフォース)

ターゲットに対して悪意のあるURLや添付ファイルを送りつける従来の標的型攻撃とは異なり,ターゲットが日常的に利用するWebサイトのWebページそのものを改ざんする手法を水飲み場型攻撃といいます.ターゲットがそのWebページにアクセスすると,例えば,注入されたスクリプトコード等によってマルウェアがダウンロードされる外部サイトに強制遷移させられるといった攻撃(ドライブバイダウンロード攻撃)を受けてしまいます.

特定のWebページを遮断するには,URLを基にフィルタリングを行うのが一般的です.

利用者認証の試行を短時間で大量に繰り返す手法は総当たり攻撃(ブルートフォースアタック)です.他にも,認証バイパスを効率的に行うために使われやすいパスワードのリストを用いて攻撃を行う辞書攻撃や,ハッシュ化されたパスワードのクラッキングを行うレインボーテーブル攻撃等があります.

設問2

解答 エ(バックドア通信は通常のWebサーバとの通信と区別できないから)

私たちが,普段インターネット上のWebページにアクセスし,HTMLファイルを受信したり,フォームの値を送信したりする際の通信はHTTPによって行われています.そのため,バックドア通信をHTTPで行われると,それらの通信とバックドア通信の見分けがつかなくなってしまいます.

設問3

解答 オートコンプリート機能を無効化する.

問題文には明記されていませんが,おそらくWebへのアクセスの際にプロキシサーバ上でパスワードを用いて利用者認証を行うのだと考えられます.もし,ブラウザのオートコンプリート機能がオンになっていた場合,ユーザが入力したパスワードが初回入力時以降,そのフォーム上に自動的に入力されるようになります.となると,バックドア通信を行うマルウェアも,その自動入力されたパスワードを用いて認証をバイパスすることができるようになります.その対策は,やはりその機能をオフに設定することです.

設問4

(1) ログの時刻が不正確になり,事象の関連性を含めたログ調査が困難になる.
d DMZ
e インターネット

NTPを利用することで,機器に正確な時刻を設定することができます.一方で,NTPを利用しなかった場合,機器の時刻が不正確になることがあります.今回は,複数の機器のログを事象の関連性を含めて調査しようと考えているため,各機器が持つ時刻が不正確だと,ログの順番がバラバラになり,上記の目標が達成できなくなる恐れがあります.

DMZ上にNTPサーバを導入し,そのNTPサーバは,外部の信用できるサーバから時刻を取得すると記述されています.
そのため,NTP通信は以下のような構成で行われることが予測できます.
f:id:Szarny:20170820163728p:plain

設問5

解答 ア,ウ
正しいです.
必ずしもすべて独自で行うのが適切であるとは言えません.
正しいです.
事後対応だけでなく,事前対応・予防策も考慮する必要があります.
情報共有を行うことが重要です.