HOME»情報処理安全確保支援士掲示板»平成30年度秋 午後Ⅰ 問3設問4
投稿する
この点については文章中に明言されていないので想像になります。
通信はHTTPであることは間違いないと思われます。
akiさんの想定である『FW1では「サイトZのipアドレスへの通信を拒否設定
していた」』については無理があると思われます。
理由ですが、事前にサイトZのIPアドレスがわかっているというのは不自然です。
設定の可能性として考えられるのは、
・FW1ステートフルパケットインスペクション型である
・HTTPインバウンド通信(インターネット -> Eサーバ)の通信は許可
・HTTPアウトバウント通信(Eサーバ -> インターネット)の通信は禁止
が妥当ではないかと推測します。
実際の運用でも個別のマルウェアのIPアドレスをFWでブロックするのは
手間がかかります。またマルウェアがFastFlux手法でサイトZのIPアドレスが
短時間で切り替わる可能性も考えられます。
そのため、事前にHTTPアウトバウント通信を禁止していたあたりが
一番可能性として高いと判断しました。
確かに不自然ですね。WEBサーバなのでhttpは許可しているはずと思い込んで、不自然ながらこのように解釈するしかないのかなと思った次第です。
しかしながら
を読んで、なるほどと思いました。p13にもわざわざ「応答を許可」と書いてありました。
[1211] 平成30年度秋 午後Ⅰ 問3設問4
akiさん(No.1)
本設問は、スクリプトUの内容を踏まえた更なる調査について問われていますが、AP1及びAP1を動作させるライブラリのダウンロードはFW1によりブロックされていること、(したがって)AP1は外部メールサーバを含めた、どの機器からも見つかっていないことは、調査結果としてわかっている状況です。
また、問題文に「Eサーバからの接続先IPアドレスとして外部メールサーバが履歴に含まれていた場合」とあるので、Eサーバから外部メールサーバへのSSHコマンド接続はあったことも前提条件として与えられていると考えました。
以上を踏まえ、模範解答①②③の調査内容はどういった目的で「調査すべき」と考えるのでしょうか。インシデント発生時のログ調査の意義を深く理解できたらと思っております。
また、問題文に「Eサーバからの接続先IPアドレスとして外部メールサーバが履歴に含まれていた場合」とあるので、Eサーバから外部メールサーバへのSSHコマンド接続はあったことも前提条件として与えられていると考えました。
以上を踏まえ、模範解答①②③の調査内容はどういった目的で「調査すべき」と考えるのでしょうか。インシデント発生時のログ調査の意義を深く理解できたらと思っております。
2023.09.12 13:31
pixさん(No.2)
★SC ダイヤモンドマイスター
【文1】
【文2】
すみませんが、この部分の意図をくみ取れませんでした。
実際の調査の結果は
・FW1のログにはAP1およびAP1のライブラリのダウンロードをブロックしたログが
残っていた
・Eサーバから他のサーバへSSHで接続はなかったと考えられる
の2点です。
設問はこの実際の調査の結果とは違い、Eサーバから外部メールサーバへSSH接続が
履歴に含まれていた場合になにを調査すべきかを問うています。
この新たな状況では【文1】の調査結果はもはや関係ないものとなります。
そのため、【文1】と【文2】は論理的な関連性はないと思われます。
この【文1】と【文2】の関係とakiさんの想定する状況がうまくくみ取れなかったです。
どのような状況を想定されていますか?
模範解答①②③については「外部メールサーバ」「Eサーバ」「FW1」で
至極当然のことを聞いているだけと思われます。
>AP1及びAP1を動作させるライブラリのダウンロードはFW1によりブロック
>されていること、(したがって)AP1は外部メールサーバを含めた、どの
>機器からも見つかっていないことは、調査結果としてわかっている状況です。
【文2】
>また、問題文に「Eサーバからの接続先IPアドレスとして外部メールサーバが
>履歴に含まれていた場合」とあるので、Eサーバから外部メールサーバへの
>SSHコマンド接続はあったことも前提条件として与えられていると考えました。
すみませんが、この部分の意図をくみ取れませんでした。
実際の調査の結果は
・FW1のログにはAP1およびAP1のライブラリのダウンロードをブロックしたログが
残っていた
・Eサーバから他のサーバへSSHで接続はなかったと考えられる
の2点です。
設問はこの実際の調査の結果とは違い、Eサーバから外部メールサーバへSSH接続が
履歴に含まれていた場合になにを調査すべきかを問うています。
この新たな状況では【文1】の調査結果はもはや関係ないものとなります。
そのため、【文1】と【文2】は論理的な関連性はないと思われます。
この【文1】と【文2】の関係とakiさんの想定する状況がうまくくみ取れなかったです。
どのような状況を想定されていますか?
模範解答①②③については「外部メールサーバ」「Eサーバ」「FW1」で
至極当然のことを聞いているだけと思われます。
2023.09.12 14:13
akiさん(No.3)
【文1】について
の解釈がちがっていたようです。
私は図3の調査結果のうち(1)(2)(3)の調査結果はその通り解釈したうえで、(4)の調査結果(下線部③)だけ、設問にある状況に読み替えたとき、追加的に必要となる調査を問われていると解釈しました。
(3)の調査結果で、ダウンロードがFW1の機能でブロックされる状況が確認できているので、模範解答①③の調査結果如何にかかわらず、攻撃者が描く攻撃シナリオは阻止されると思いました。
その場合でも①③のような調査をする意義はあるものなのか、という疑問でした。
>この新たな状況では【文1】の調査結果はもはや関係ないものとなります。
の解釈がちがっていたようです。
私は図3の調査結果のうち(1)(2)(3)の調査結果はその通り解釈したうえで、(4)の調査結果(下線部③)だけ、設問にある状況に読み替えたとき、追加的に必要となる調査を問われていると解釈しました。
(3)の調査結果で、ダウンロードがFW1の機能でブロックされる状況が確認できているので、模範解答①③の調査結果如何にかかわらず、攻撃者が描く攻撃シナリオは阻止されると思いました。
その場合でも①③のような調査をする意義はあるものなのか、という疑問でした。
2023.09.12 15:39
pixさん(No.4)
★SC ダイヤモンドマイスター
1点補足させていただきます。
以下の文章は特に誤解しやすい文章と思われます。
図3 (3)「FW1のログを調査した結果、上記(2)a)でのダウンロードはFW1で
ブロックされていた。」
とあります。
今回の状況とこの文章を組み合わせてわかることは
・EサーバからサイトZへ通信はブロックされた
という結果です。
ここをミスリードしてしまうと
・B社のDMZに存在する全てのサーバからサイトZへの通信はブロックされる
という設定に対する思い込みです。
Eサーバ -> FW -> サイトZへの通信はFWでブロック設定されていたというのは
確実ですが、
DMZのサーバ群 -> FW -> サイトZへの通信がブロック設定されているというのは
思い込みにすぎないということです。
ここで思い込みに嵌ってしまうと
外部メールサーバ -> FW -> サイトZへの通信もブロックされているはずだから、
それに関するログは調査する必要がないと、さらなる思い込みが発生してしまいます。
実際の運用でもありがちな話ですが、「Aが問題なければ、Bも問題ないはず」と
いった勝手な想定による思い込みをしてしまうケースがあります。
そういった思い込みもたまたま当たっているだけの場合が多いです。
これらの勝手な思い込みがいわゆる「ハインリッヒの法則」を引き寄せてしまい、
重大なインシデントを発生させる原因となります。
以下の文章は特に誤解しやすい文章と思われます。
図3 (3)「FW1のログを調査した結果、上記(2)a)でのダウンロードはFW1で
ブロックされていた。」
とあります。
今回の状況とこの文章を組み合わせてわかることは
・EサーバからサイトZへ通信はブロックされた
という結果です。
ここをミスリードしてしまうと
・B社のDMZに存在する全てのサーバからサイトZへの通信はブロックされる
という設定に対する思い込みです。
Eサーバ -> FW -> サイトZへの通信はFWでブロック設定されていたというのは
確実ですが、
DMZのサーバ群 -> FW -> サイトZへの通信がブロック設定されているというのは
思い込みにすぎないということです。
ここで思い込みに嵌ってしまうと
外部メールサーバ -> FW -> サイトZへの通信もブロックされているはずだから、
それに関するログは調査する必要がないと、さらなる思い込みが発生してしまいます。
実際の運用でもありがちな話ですが、「Aが問題なければ、Bも問題ないはず」と
いった勝手な想定による思い込みをしてしまうケースがあります。
そういった思い込みもたまたま当たっているだけの場合が多いです。
これらの勝手な思い込みがいわゆる「ハインリッヒの法則」を引き寄せてしまい、
重大なインシデントを発生させる原因となります。
2023.09.12 16:40
akiさん(No.5)
pixさま
いつもありがとうございます。
についてご指摘のとおりかと思います。
については、どちらかというと、図3の(3)のつづき「B社情報システムのどの機器にもAP1はみつからなかった」という既知の調査結果に着目して生じた疑問でした。
模範解答①③の結果如何にかかわらずAP1ダウンロードは実現していないのなら、模範解答①③の調査が「スクリプトUの内容を考慮して更に調査が必要」には当たらないのでは?というのが、もともとの疑問でした。
pixさまがNo.2にてコメントされている
という解釈をすれば、模範解答①③の調査は必要ということが理解できました。
ちなみに
の部分ですが、スクリプトUによるサイトZへの通信はHttp通信という理解であっていますでしょうか。Eサーバの性質上Http通信は許可していると思われるので、FW1では「サイトZのipアドレスへの通信を拒否設定していた」と理解するのかなと思っています。
いつもありがとうございます。
>Eサーバ -> FW -> サイトZへの通信はFWでブロック設定されていたというのは
>確実ですが、
>DMZのサーバ群 -> FW -> サイトZへの通信がブロック設定されているというのは
>思い込みにすぎないということです。
についてご指摘のとおりかと思います。
>ここで思い込みに嵌ってしまうと
>外部メールサーバ -> FW -> サイトZへの通信もブロックされているはずだから、
>それに関するログは調査する必要がないと、さらなる思い込みが発生してしまいます。
については、どちらかというと、図3の(3)のつづき「B社情報システムのどの機器にもAP1はみつからなかった」という既知の調査結果に着目して生じた疑問でした。
模範解答①③の結果如何にかかわらずAP1ダウンロードは実現していないのなら、模範解答①③の調査が「スクリプトUの内容を考慮して更に調査が必要」には当たらないのでは?というのが、もともとの疑問でした。
pixさまがNo.2にてコメントされている
>この新たな状況では【文1】の調査結果はもはや関係ないものとなります。
という解釈をすれば、模範解答①③の調査は必要ということが理解できました。
ちなみに
>以下の文章は特に誤解しやすい文章と思われます。
>図3 (3)「FW1のログを調査した結果、上記(2)a)でのダウンロードはFW1で
>ブロックされていた。」
>とあります。
>今回の状況とこの文章を組み合わせてわかることは
>・EサーバからサイトZへ通信はブロックされた
>という結果です。
の部分ですが、スクリプトUによるサイトZへの通信はHttp通信という理解であっていますでしょうか。Eサーバの性質上Http通信は許可していると思われるので、FW1では「サイトZのipアドレスへの通信を拒否設定していた」と理解するのかなと思っています。
2023.09.13 11:26
pixさん(No.6)
★SC ダイヤモンドマイスター
この投稿は投稿者により削除されました。(2023.09.13 11:43)
2023.09.13 11:43
pixさん(No.7)
★SC ダイヤモンドマイスター
>の部分ですが、スクリプトUによるサイトZへの通信はHttp通信という理解で
>あっていますでしょうか。Eサーバの性質上Http通信は許可していると
>思われるので、FW1では「サイトZのipアドレスへの通信を拒否設定していた」と
>理解するのかなと思っています。
この点については文章中に明言されていないので想像になります。
通信はHTTPであることは間違いないと思われます。
akiさんの想定である『FW1では「サイトZのipアドレスへの通信を拒否設定
していた」』については無理があると思われます。
理由ですが、事前にサイトZのIPアドレスがわかっているというのは不自然です。
設定の可能性として考えられるのは、
・FW1ステートフルパケットインスペクション型である
・HTTPインバウンド通信(インターネット -> Eサーバ)の通信は許可
・HTTPアウトバウント通信(Eサーバ -> インターネット)の通信は禁止
が妥当ではないかと推測します。
実際の運用でも個別のマルウェアのIPアドレスをFWでブロックするのは
手間がかかります。またマルウェアがFastFlux手法でサイトZのIPアドレスが
短時間で切り替わる可能性も考えられます。
そのため、事前にHTTPアウトバウント通信を禁止していたあたりが
一番可能性として高いと判断しました。
2023.09.13 11:45
akiさん(No.8)
>『FW1では「サイトZのipアドレスへの通信を拒否設定
>していた」』については無理があると思われます。
>理由ですが、事前にサイトZのIPアドレスがわかっているというのは不自然です。
確かに不自然ですね。WEBサーバなのでhttpは許可しているはずと思い込んで、不自然ながらこのように解釈するしかないのかなと思った次第です。
しかしながら
>設定の可能性として考えられるのは、
>・FW1ステートフルパケットインスペクション型である
>・HTTPインバウンド通信(インターネット -> Eサーバ)の通信は許可
>・HTTPアウトバウント通信(Eサーバ -> インターネット)の通信は禁止
>が妥当ではないかと推測します。
を読んで、なるほどと思いました。p13にもわざわざ「応答を許可」と書いてありました。
2023.09.13 13:17