わたしは過去問演習を行う際、なぜその問題を正解できなかったのか深掘りし、同じような問題が出たら必ず正解できることを目指しています。
H29春午後Ⅰについて・・・
情報処理安全確保支援士試験になっても、ほとんど問題の傾向は変わりませんでしたね。ただ、わたしが選択しないと決めているセキュアプログラムが今まではいつも問1だったのに、今回はじめて?問2がセキュアプログラムになったなぁと思いました。なのでH29春午後Ⅰは問1と問3を選択しました。ただ、わたしは園児ニーアなので業務でセキュアプログラムを扱うこともあり最低限のことは抑えているので、試験後問2を解いてみたら割と短時間で5~6割は正解できた感じでした。。勉強しているうちに選択肢が増えてくるのは良い反面、迷いが生じてくるので試験本番でどう選択するのかシミュレーションしておかないとですね。
問1
設問1(1)
起きていることを順番通りに書くと、
・AさんのPCがマルウェアに感染した
・感染したので攻撃者はAさんのPCを操作できる
・攻撃者は管理用PCとサーバの通信内容を知りたい
・FWに送るつもりで送信されたデータがAさんのPCに届くようにできれば通信内容をゲットできる
・管理用PCに送るつもりで送信されたデータがAさんのPCに届くようにできれば通信内容をゲットできる
→ FWのMACアドレスをAさんのPCのMACアドレスの値に変えた(表2)
→ 管理用PCのMACアドレスをAさんのPCのMACアドレスの値に変えた(表3)
すると・・・サーバが管理用PCにデータ送信すると、管理用PCに届くはずだったがMACアドレスがAさんのPCのMACアドレスになっているので送信したデータがAさんのPCに届く
◆これで解けなかったのでは?コーナー
・そもそもARPプロトコルの仕組みを知らない
ネットワークの常識で、通信データにはIPアドレスが含まれているがMACアドレスは含まれていないため、通信するたびに送信したい相手のMACアドレスを知る必要があります。
ルータ(L2SW)「機器間はMACアドレスがないとデータ送れないようになってるんだよね。自分で保持してるARPテーブルを参照しても送りたいIPは載ってなかったからARPプロトコルでこのIPアドレスの人MACアドレス教えて~ってみんなにブロードキャストしよう。」
送信先サーバ・PC「はーい!そのIPアドレスはわたし宛だからこのMACアドレスに送ってね!でもARPテーブル(電話帳みたいなもの)に履歴残ってる場合はわざわざ聞かないでね(*^^*)」
・そもそも表2~4をどう解釈して良いのかわからなかった
ARPテーブルが書き換えられたのはわかったけど、まず誰が何をしたがっているのがわかることが必要です。図3を見ると、攻撃者は乗っ取ったAさんのPCを利用して、LDAPサーバ・CRMサーバ・管理PCのIPアドレスを知りたがっています。
表2・3・4がワンセットです。こういう場合は表2にヒントが隠されていて、そのヒントを元に表3・4がわかるようになっていることが多いです。 表2と図1を見比べると、「MACアドレスが感染したAさんのPCがある(カ)PCのものになっています。AさんのPCのMACアドレス宛に送られるように書き換えたんだな。」というヒントがわかります。 同じように表3のMACアドレスも書き換えられたら、知りたがっていたIPアドレスを知ることができます。 ただし、AさんのPCのARPテーブルは通常通り自分のPCのMACアドレスが設定されている必要があります。
ここまで書いていくと過去問解説終わらなくなっちゃいますね・・・(^^;
設問1(2)
わたしの回答:(×)
項番4
模範解答:
項番5
解説:
まず表1「ログの記録」列を見ると、1,3,4,5が記録するになっている。
わたしは試験本番のときこれがわかっていなかったのだが、この表の項番4は「動作:拒否の場合にログを取得する」ということらしい。よってIPアドレス総当たりをやっていたら「拒否されてログに残る」ことになるため、「記録されるはずのログが残っていなかった」=「拒否されるような通信をしていない」ということになる。
「何かと何かの間に入って」ときたら、中間者攻撃
CRMサーバのサーバ証明書かどうかを検証しているため、
設問1(3)
わたしの回答:(△)
送信元:ケ、宛先:カ、サービス:エ
模範解答:
送信元:ケ、宛先:カ、サービス:キ
解説:
管理用PCのIPアドレスは、管理用PCが許可されている通信を盗聴するとわかる。管理用PCが許可されている通信は、表1項番4になる。よって、サービスはSSHになる。
設問2
わたしの回答:(〇)
中間者攻撃、CRMサーバ
理由:
攻撃者がサーバとクライアントの間に入ってサーバになりすますことになり、間に入って=中間者攻撃と覚える。Maninthemiddleも同類。
検証するのはCRMサーバのサーバ証明書なので、CRMサーバを詐称されるということになる。
設問3(1)
わたしの回答:(〇)
管理用PCとサーバ間の通信がPCセグメント上に流れないから
理由:
図3の6.「AさんのPC上で通信を盗聴して、管理用PCのIPアドレスを特定する」を防げるかは、「通信を盗聴できるか」がポイントになってくる。今までは管理用PCの通信とAさんのPCの通信は、同じところを通っていたため盗聴できたが、変更後は流れる場所が分けられたため盗聴できなくなった。
設問3(2)
わたしの回答:(〇)
模範解答:
問2
設問1
わたしの回答:()
模範解答:
設問2(1)
わたしの回答:(○)
クロスサイトリクエストフォージェリ
理由:
特に言うことはなく、クロスサイトリクエストフォージュリじゃなくてクロスサイトリクエストフォージェリだっていうことは皆さん覚えて帰ってください! え?一緒じゃんって?その気持はわかります。
設問2(2)
わたしの回答:(○)
3
理由:
P11下方に「Xさん:・・・退会処理が行われてしまった」と書かれているので、表2の中で表示された画面「退会完了」になっている手順1と3が選択肢になります。項番1は正しいtaikai_tokenをPOSTデータに設定するケースですが、taikai_tokenはシステム内部で勝手に発行される
設問2(3)
わたしの回答:()
模範解答:
設問2(4)
わたしの回答:()
模範解答:
設問3
わたしの回答:()
模範解答:
設問4
わたしの回答:()
模範解答:
問3
◇交通費精算サービス
わたしの回答:(〇)
(3)、ファイアウォールにより通信が遮断されるため
理由:
P14上部に「社外から社内ネットワークへの通信はファイアウォールによって禁止されている」と書かれているため。言い換えると、交通費精算サービスには接続元IPアドレスの制限機能がないため(1)の接続要求は受信される。わたしの回答だと、主語が足りてないようにも思えるのでこちらも部分点しかもらえていないかもしれない。
模範解答:
(3)、社外からIdPへの通信がファイアウォールによって遮断されるから
◇グループウェアサービス
わたしの回答:(△?)
(1)、グループウェアサービスで接続元IPアドレスを制限していたため
模範解答:
(1)、クラウドサービス側で接続元IPアドレスの制限が行われているから
解説:
P15下部に「グループウェアサービスだけは、接続元IPアドレスを制限する機能を備えていた」「残り(交通費精算サービス、オンラインストレージサービス)のクラウドサービスは接続元IPアドレスの制限機能を備えていなかった」と書かれていることから、「クラウドサービス側で接続元IPアドレスの制限が行われている」という解答になる。
以上です。
