HOME»情報処理安全確保支援士掲示板»令和5年春午後Ⅰ設問3設問1(2)
投稿する

令和5年春午後Ⅰ設問3設問1(2) [1171]

 akiさん(No.1) 
設問と直接は関係ないかもしれませんが、出題されているQ社の状況について理解しかねた部分があるのでコメントいただける方お願いします。

問題文中で、J社の事例としてSaaS-aの偽サイトを利用したフィッシング詐欺が紹介されています。ここではSaaS-aのID、パスワード窃取があったと考えました。そしてQ社においてもSaaS-aの偽サイトに従業員がアクセスすればID、パスワードを窃取されるリスクはあると理解しました。
問題文ではSaaS-aの偽サイトに(「SaaS-a」ではなく)「Lサービス」の利用者IDとパスワードを入力してしまう従業員がいたとしても…、とあります。
攻撃者の意図は、SaaS-aの偽サイトに入力されるのはSaaS-aのID、パスワードであって、Lサービスのそれらではないはずと考えました。

下線部①にある「攻撃者がその利用者IDとパスワードを使って社外からLサービスを利用することはできない」のは、模範解答にある理由でその通りであると理解します。私も正答でした。一方で「S主任は報道と同様の被害にQ社があうおそれは低い」と考えるのには疑問を感じました。というのも、SaaS-aがSAMLでIDaaS連携する場合でも、通常のSaaS-aへのログイン画面は有効になっていて攻撃者がSaaS-aの偽サイトで入手したID、Pwを入力することでログイン可能ではないかと感じたからです。Q社ではSaaS-aはSAMLでIDaaSと連携するという記述は「SAML連携を用いない通常のSaaS-aへのログイン経路は塞がれている」ことを意味しているのでしょうか。

SAML連携の実務に携わったことがなく、私の解釈が適切なのかどうかアドバイスいただけますと幸いです。
2023.07.31 08:52
pixさん(No.2) 
SC ダイヤモンドマイスター
>攻撃者の意図は、SaaS-aの偽サイトに入力されるのはSaaS-aのID、パスワードであって、
>Lサービスのそれらではないはずと考えました。
SAMLとIDaaSについて理解が不足しているようです。
SaaS-a,b,c,dはサービスを提供しますが、このSaaS上にはユーザID・パスワードは
保管されていません。
SaaSが利用するユーザID・パスワードは、LサービスがIDaaSとして一元管理しています。
そのため、「SaaS-aのID・パスワード」というような独立したものは存在しません。

>SaaS-aがSAMLでIDaaS連携する場合でも、通常のSaaS-aへのログイン画面は有効になって
>いて攻撃者がSaaS-aの偽サイトで入手したID、Pwを入力することでログイン可能では
>ないかと感じたからです。
仮に通常のログイン画面があったとしても、Q社の従業員のユーザID・パスワードは
Lサービス上で管理されているため、SaaS-aにはログインできないでしょう。
2023.07.31 17:48
pixさん(No.3) 
SC ダイヤモンドマイスター
すみません
一点補足します。

SaaS側にはSaaSの利用者としてユーザIDは登録されています。
ユーザIDとパスワードのセットがLサービス(IDaaS)で管理されています。
認証・認可処理はLサービス側で処理されます。
2023.07.31 20:18
 akiさん(No.4) 
pixさま

コメントありがとうございます。
補足に記載していただいてる「SaaSーaにはSaaSーaのユーザID、パスワードが登録されている」との認識は私の認識と一致しておりました。また「Lサービスを利用するQ社において、Lサービス上でこのセットが管理されている」のも認識は同じです。

その場合、通常のログイン画面からQ社の従業員の(SaaSーaの)ユーザID・パスワードが入力されれば、SaaS-aにはログインできると思うのですが、そこは認識が違うのでしょうか。
「SaaS-aのID・パスワード」はLサービスのID・Pwと独立して存在すると思っていますが、いかがでしょうか。
2023.08.01 10:40
pixさん(No.5) 
SC ダイヤモンドマイスター
>補足に記載していただいてる「SaaSーaにはSaaSーaのユーザID、パスワードが
>登録されている」との認識は私の認識と一致しておりました。
すみません。補足には
「SaaSーaにはSaaSーaのユーザID」のみ登録されていると書いたつもりです。
SaaS-aにはパスワードは登録されておりません。

SaaS-aにユーザIDを登録するのは、SaaS-a上でだれがSaaS-aのユーザか認識
するためです。その際、パスワードをSaaS-aに登録しておく必要はありません。

認証とは「本人確認」の専門用語です。
認証するには、ユーザIDとパスワードのペアが必要になります。
これらはペアとなって初めて認証に用いられます。
この2つを分離しておくことにより、SaaS-aで機密情報を保持しなくなります。
逆に、Lサービス(IDaaS)でユーザIDとパスワードを一元・厳重管理することにより
SaaS側で機密情報を管理する負担をなくすというものです。
2023.08.01 10:49
 akiさん(No.6) 
pixさま

失礼しました。「SaaSの利用者としてユーザIDは登録されています」と記載されていますが「SaaSーaにはSaaSーaのユーザID、パスワードが登録されている」とは記載されていませんでした。わたしの早とちりです。
いずれにせよ、SaaSーaの「ID、Pwのセット」はLサービスで管理されているということならば、このセットをつかって、通常のログイン画面からSaaS-aにログインできる気がしています。

コメントいただければ幸いです。
2023.08.01 10:52
pixさん(No.7) 
SC ダイヤモンドマイスター
>通常のログイン画面からSaaS-aにログインできる気がしています。
通常のログイン画面の認識がすこし違うと思われます。
ログイン画面は同じで、IDによって
・SaaS-aの認証
・Lサービス(IDaaS)の認証
に振り分けられると想定されます。

具体的な内容が書いていないので想像になりますが、
・ユーザIDは'ユーザーID@Lサービスのドメイン'のようにドメインが付与されている
・Q社の社員がSaaS-aのログイン画面で'ユーザーID@Lサービスのドメイン'を
  入力すると、SaaS-aはユーザIDのドメインがLサービスのドメインであることを
  検知し、Lサービスへ認証に行く
・その時、SAML認証なのでSaaS-aからユーザのブラウザへリダイレクトされ、
  ネットワーク経路的にQ社からLサービスへ行くことになる
・Lサービス側ではQ社のUTMのグローバルIPアドレスのみ許可しているので、
  他のIPアドレスからの接続は禁止される

以上のようなケースが想定されます。
これ以上は認証・認可の深い知識が必要となります。
2023.08.01 11:05
 akiさん(No.8) 
pixさま

細かく解説していただきありがとうございました。
問題文の図2の流れとコメントいただいた内容を突き合わせてみて気づいたのですが、わたしは(4)でLサービス用IDとPwを入力するものと思い込んでおりました。また、SaaSーaのIDは「ユーザーID@Lサービスのドメイン」というものではなく、ユーザID部分のみで(1)の画面でPwとともに入力することで、SaaSーaにログインできるものと理解しておりました。そこが間違いみたいです。(SAMLとIDaaSの理解が不十分とご指摘いただいた部分と思っております)

図2について少し補足いただければありがたいのですが(4)では、Lサービスとブラウザとの間で双方向の矢印が記載されています。私はここでブラウザでID、Pwを入力する操作をしたと誤解したのですが、pixさまが想定された流れでは(4)ではどんな操作が想定されるのでしょうか、あるいは特段の操作はないがブラウザとLサービスとの間で何らかのやりとりがある、ということなのでしょうか?
2023.08.01 12:05
pixさん(No.9) 
SC ダイヤモンドマイスター
>図2について少し補足いただければありがたいのですが(4)では、Lサービスと
>ブラウザとの間で双方向の矢印が記載されています。私はここでブラウザでID、Pwを
>入力する操作をしたと誤解したのですが、pixさまが想定された流れでは(4)では
>どんな操作が想定されるのでしょうか、あるいは特段の操作はないがブラウザと
>Lサービスとの間で何らかのやりとりがある、ということなのでしょうか?
私もここで、Lサービスが提供するログイン画面でユーザーIDとパスワードを
入力すると思います。
しかし、これらは最初のSaaS-aの画面構成に依存すると思われます。
SaaS-aの最初の画面で
・SaaS-aでの認証
・SAMLの認証
を選択する項目があると推測します。
その場合SAML認証を選ぶと、フローのように進み、(4)でLサービスが
ログイン画面を表示するのではと考えます。
2023.08.01 13:14
 akiさん(No.10) 
pixさま

度重なる質問に対して丁寧にご回答いただきありがとうございます。
ただ、私としては、最初の疑問に立ち返ってしまいます。

SaaS-aの最初の画面で
  ・SaaS-aでの認証
  ・SAMLの認証
を選択する項目があるとした場合

Q社社員が、偽サイトにてSaaS-aでの認証を選択し(SaaSーaの)ID、パスワードを入力する可能性はあり、よってJ社と同様の被害を防ぐ上で、Lサービスの送信元制限機能があったとしても安心してはいけないのではないか、という疑問でした。
もし最初のコメントと異なるフィードバック、追加でフィードバックいただけるのであればよろしくお願いします。

他の方でも、補足や解釈についてコメントいただける方おられましたら是非お願いいたします。
2023.08.01 14:42
pixさん(No.11) 
SC ダイヤモンドマイスター
>SaaS-aの最初の画面で
>  ・SaaS-aでの認証
>  ・SAMLの認証
>を選択する項目があるとした場合
>Q社社員が、偽サイトにてSaaS-aでの認証を選択し(SaaSーaの)ID、
>パスワードを入力する可能性はあり、よってJ社と同様の被害を防ぐ上で、
>Lサービスの送信元制限機能があったとしても安心してはいけないのではないか、
>という疑問でした。
攻撃者が偽のSaaS-aサイトでQ社社員のID、パスワードを詐取したとします。
しかし、攻撃者が本物のSaaS-aでSAML認証を選択したとしても、攻撃者のブラウザが
利用するグローバルIPアドレスはLサービスで許可されていません。
そのため、攻撃者はLサービスで認証を受けることができないため、本物のSaaS-aへ
ログインできません。

SAMLの特徴として、SPがIdPにアクセスするのではなく、途中にいるクライアントが
SPの代わりにIdPにアクセスするというものです。
2023.08.01 14:51
 akiさん(No.12) 
pixさま

再度のレスポンス、ありがとうございます。
私の想定では、攻撃者はSaaSーaでSAML認証を選択しません。SaaS-aでの認証を選択します。
Q社社員が、偽サイトにてSaaS-aでの認証を選択し(SaaSーaの)ID、パスワードを入力したとして、それが窃取されているとの前提です。
Q社社員が偽サイトで行った操作を、攻撃者が本物のサイトでなぞるイメージで、それによりログインに成功するはずだと考えております。この場合、Lサービスは介在しないと思っていますがいかがでしょうか。

攻撃者がSAML認証を選択した場合の動作については、記載いただいた動作になることは承知しております。
2023.08.01 16:50
pixさん(No.13) 
SC ダイヤモンドマイスター
>Q社社員が偽サイトで行った操作を、攻撃者が本物のサイトでなぞるイメージで、
>それによりログインに成功するはずだと考えております。
>この場合、Lサービスは介在しないと思っていますがいかがでしょうか。
本物のSaaS-aにはS社社員のIDは登録されていますが、パスワードは登録されて
いないと考えられます。
そのため、SaaS-aでの認証を選択したとしても、攻撃者はログインできないと
想定されます。

>Q社社員が偽サイトで行った操作を、攻撃者が本物のサイトでなぞるイメージで、
>それによりログインに成功するはずだと考えております。この場合、Lサービスは
>介在しないと思っていますがいかがでしょうか。
偽のSaaS-aサイトでは偽のLサービスが用意されており、偽のLサービスにQ社社員が
IDとパスワード入力してしまったために、IDとパスワードを詐取されたと想定して
おります。
2023.08.01 16:57
 akiさん(No.14) 
pixさま

重ね重ねの質問に対して真摯に回答いただきありがとうございました。
2023.08.01 17:05
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014- 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop