HOME»情報処理安全確保支援士掲示板»令和5年秋期試験 午後試験【問3】
投稿する
かなり得点が高そうな答案だと思います。
「Kさんが開始した対応を踏まえ」の部分ですが、私は下記のように問われていると受け取りました。
Kさんはある攻撃を予想し今回の対応を行いました。
その対応を踏まえてKさんが予想した攻撃は何かを答えて下さい。
故に、P アプリを J ストアにアップロードする旨の回答となったと考えました。
私こっちの方を書いちゃったんですよね。わざわざフロントエンドの権限・バックエンドの権限を書いているので、フロントエンドからデータベース読むみたいな内容が想定していた解答かも
ただciサービスでフロントバックをわざわざ分けてるサービスって聞いたこと無いなぁ。フロントエンドからしかデータベースが読めないのもいまいちしっくりこない
バックエンドでコマンド実行しているんだから、バックエンドからはシークレット読めないとスクリプト実行出来なくない?フロントでチェックアウトしたタイミングでシークレット展開してバックエンドはそれを実行しているだけだからバックエンドからはアクセス権が必要無いのか。
そうするとci.shを修正してシークレットを出力するスクリプトを書くもしくは送信するスクリプトを書くとかでも一応大丈夫そうな気がする。普通だったらマスキングされている気がしますけど、まぁ特に明記されてないし
と思ったけど別段フロントエンドのサーバーでなんかいじれる権限があるって特に記載ないっすね。(読み飛ばしただけかも)
やっぱここは単純にスクリプト修正して出力するじゃなかろうか
ですので、その対応でアップロードできなくなっていると考えられます。
問3(1)は「本文中の下線⑦について、Kさんが開始した対応を踏まえ、予想される攻撃を、40字以内で答えよ。」です。
⑦は以下が書かれています。
Pアプリ利用者に被害が及ぶ攻撃が行われることを予想し、(イ)
すぐに対応を開始した。(ロ)
攻撃を予想した後に、対応を開始しています。
※⑦時点では、対応を開始したのみで完了していません。
ここでは問われているのは(イ)の予想部分だと思います。
故に「⑦時点の対応完了前で予想される攻撃」と受け取りました。
上記よりアップロードできるのではないでしょうか?
私が問題文を読んでわかりにくいと思ったときは、文書をばらして考えてます。
今回のような場合は次のような感じです。
「本文中の下線⑦について、予想される攻撃を40字以内で答えよ。」And「Kさんが開始した対応を踏まえ」。
これにより、「問われているのは⑦の(イ)だな。(ロ)部分を考慮したらよいのだな。」としています。
うまく説明できなくてすいません。
それであれば、「Kさんが開始した対応を踏まえ」を付ける必要はなく「本文中の下線⑦について、予想される攻撃を、40字以内で答えよ。」
で十分です。
»[1275] 認証認可系の知識の最終確認 投稿数:2
»[1274] 令和3年度 春季試験 午後Ⅱ IPアドレスについて 投稿数:3
[1277] 令和5年秋期試験 午後試験【問3】
管理人(No.1)
令和5年秋期試験 午後試験【問3】についての投稿を受け付けるスレッドです。
2023.10.08 00:29
なにもわからないさん(No.2)
「サービス提供会社で発生したインシデント」「そのサービスを使用している会社で生じたリスクとその対応」の二部構成になっていて、個人的には楽しかったですね。あまり選択者いない感じでしょうか?
2023.10.08 15:34
windows777さん(No.3)
あんまり選択した方いなさそうですね、一つの問題が二部構成は解いてて楽しかったです。
2023.10.08 15:40
ぬさん(No.4)
消去法で問3を選ぶしかなかったので選択しました。
問題文の初めの方は難しい印象を受けましたが、設問はそんなに難しいことを問われていないような印象でした。
問題文の初めの方は難しい印象を受けましたが、設問はそんなに難しいことを問われていないような印象でした。
2023.10.08 16:04
tanakaさん(No.5)
問2よりかは難しかった印象です。。。
普段あまりこういうところに書かないのですが、あまりにも人が少ないので以下私の回答です。
1 ウ・エ(自信なし)
2
(1)偽サイトに入力されたUさんのログイン情報とTOTPを用いて正規のサイトにログインする。
(2)ア
(3)イ
(4)フロントエンドからユーザーデータベースにアクセスする。(自信なし)
(5)パスワードの代わりに生体認証などを用いて認証を行う。
(6)ア
3
(1)不正なソースコードがJストアにアップロードされる。(自信なし)
(2)利用不可にし、変更を行う。
(3)鍵ペアの保存場所と利用場所を隔離できる。
(4)影響→アプリを起動できない。対応→アプリを最新版にする。(自信なし)
ご意見お願いします!
普段あまりこういうところに書かないのですが、あまりにも人が少ないので以下私の回答です。
1 ウ・エ(自信なし)
2
(1)偽サイトに入力されたUさんのログイン情報とTOTPを用いて正規のサイトにログインする。
(2)ア
(3)イ
(4)フロントエンドからユーザーデータベースにアクセスする。(自信なし)
(5)パスワードの代わりに生体認証などを用いて認証を行う。
(6)ア
3
(1)不正なソースコードがJストアにアップロードされる。(自信なし)
(2)利用不可にし、変更を行う。
(3)鍵ペアの保存場所と利用場所を隔離できる。
(4)影響→アプリを起動できない。対応→アプリを最新版にする。(自信なし)
ご意見お願いします!
2023.10.08 17:23
zさん(No.6)
2-(4)同じっす!
フロントからデータベースの接続情報入手してアクセスする的な事書きました
結構時間使ったとこなんで同じ解答者いて本当嬉しい
フロントからデータベースの接続情報入手してアクセスする的な事書きました
結構時間使ったとこなんで同じ解答者いて本当嬉しい
2023.10.08 17:41
aaaさん(No.7)
私の回答です!自信ないですが、、
1 ア、イ、ウ(自信なし)
2
(1)偽サイトに入力されたログイン情報とTOTPを用いて正規のサイトにログインする。
(2)ア
(3)イ
(4)フロントエンドから被害バックエンドに送信されたシークレットを盗み取る(自信なし)
(5)ログイン時に顔認証などの生体認証などを用いて認証を行う。
(6)ア
3
(1)不正なソースコードがJストアにアップロードされ、Pアプリ利用者を不正サイトに誘導する(自信なし)
(2)新規の認証用APIキーの取得
(3)機器を盗まれない限り鍵ペアが流出しない(おそらく間違ってる、、)
(4)影響→アプリを起動できない。対応→アプリを最新版にする。
1 ア、イ、ウ(自信なし)
2
(1)偽サイトに入力されたログイン情報とTOTPを用いて正規のサイトにログインする。
(2)ア
(3)イ
(4)フロントエンドから被害バックエンドに送信されたシークレットを盗み取る(自信なし)
(5)ログイン時に顔認証などの生体認証などを用いて認証を行う。
(6)ア
3
(1)不正なソースコードがJストアにアップロードされ、Pアプリ利用者を不正サイトに誘導する(自信なし)
(2)新規の認証用APIキーの取得
(3)機器を盗まれない限り鍵ペアが流出しない(おそらく間違ってる、、)
(4)影響→アプリを起動できない。対応→アプリを最新版にする。
2023.10.08 17:46
orangekameさん(No.8)
私の回答も!
1 ウ・エ
2
(1)偽サイトに入力されたUさんの認証情報とTOTPを用いて直ちに不正ログインする。
(2)ア
(3)イ
(4)フロントエンドからの通信を監視しシークレットを盗む。(自信なし)
(5)クライアント証明書によりサーバとクライアントが相互認証される。(とりあえず埋めましたが自信ありません)
(6)ア
3
(1)正当なコード署名された不正なPアプリをJストアを通じて配信する攻撃。
(2)J社WebサイトでAPIキーを削除する。
(3)耐タンパ性により署名鍵が保護される。(とりあえず埋めましたが自信ありません)
(4)影響→アプリを起動できない。対応→アプリを再インストールする。
1 ウ・エ
2
(1)偽サイトに入力されたUさんの認証情報とTOTPを用いて直ちに不正ログインする。
(2)ア
(3)イ
(4)フロントエンドからの通信を監視しシークレットを盗む。(自信なし)
(5)クライアント証明書によりサーバとクライアントが相互認証される。(とりあえず埋めましたが自信ありません)
(6)ア
3
(1)正当なコード署名された不正なPアプリをJストアを通じて配信する攻撃。
(2)J社WebサイトでAPIキーを削除する。
(3)耐タンパ性により署名鍵が保護される。(とりあえず埋めましたが自信ありません)
(4)影響→アプリを起動できない。対応→アプリを再インストールする。
2023.10.08 18:21
DBNWさん(No.9)
>> orangekameさん
かなり得点が高そうな答案だと思います。
2023.10.08 18:48
もりさん(No.10)
初めて受けましたが、問3は実務的で面白かったと思います。
2-(4)について、
シークレットはビルドスクリプトのシェルに設定されるとあるので、
ビルドスクリプトを改変し取得したのではと思いました。
2-(4)について、
シークレットはビルドスクリプトのシェルに設定されるとあるので、
ビルドスクリプトを改変し取得したのではと思いました。
2023.10.08 20:26
あかさん(No.11)
3(3)は
不正に署名されていないことを証明できる
にしました。
とりあえず埋めました、自信ありません。
不正に署名されていないことを証明できる
にしました。
とりあえず埋めました、自信ありません。
2023.10.08 21:09
zさん(No.12)
設問1は全部書いた
アイウエオ全部
アイウエオ全部
2023.10.08 23:11
unkonowさん(No.13)
草
設問1は「コンテナによる仮想化の脆弱性を悪用しなくても成功してしまうもの」を選ぶ問題
言い換えれば「基本的にコンテナからでは成功しない攻撃」を選択肢から外していけば解くことができる
コンテナ型仮想化を理解していない場合にはある程度推測を働かせる必要があるが、それでも地頭でごり押せば十分なんとかなると思われる
ア: コンテナ内からではコンテナ外のプロセスをkillできないため選択肢から外れる
イ: コンテナ内からではコンテナ外のプロセスを参照できないため選択肢から外れる
ウ: バックエンドはインターネットへの通信が可能な設定になっている。
コンテナは仮想的なコンピュータであり、インターネットへの通信は通常のコンピュータと同様に可能。よってウは実行可能
エ: ウと同様の理由で可能。
ビルドスクリプトには、攻撃者サイトに接続した上でコマンド実行を待ち受ける処理でも書いておけばよい
オ: CIデーモンによってコンテナが起動されるのは処理命令を受けたタイミングである。
ソースコードのコミット通知を受け取るたびにコンテナが起動し、
その内部でビルドスクリプトが実行される。
つまり、コンテナ内部にはほかのNサービス利用者のビルドスクリプトは存在せず、
また当然ながら他コンテナ内に出力されたログを取得することもできない
よって選択肢から外れる
設問1は「コンテナによる仮想化の脆弱性を悪用しなくても成功してしまうもの」を選ぶ問題
言い換えれば「基本的にコンテナからでは成功しない攻撃」を選択肢から外していけば解くことができる
コンテナ型仮想化を理解していない場合にはある程度推測を働かせる必要があるが、それでも地頭でごり押せば十分なんとかなると思われる
ア: コンテナ内からではコンテナ外のプロセスをkillできないため選択肢から外れる
イ: コンテナ内からではコンテナ外のプロセスを参照できないため選択肢から外れる
ウ: バックエンドはインターネットへの通信が可能な設定になっている。
コンテナは仮想的なコンピュータであり、インターネットへの通信は通常のコンピュータと同様に可能。よってウは実行可能
エ: ウと同様の理由で可能。
ビルドスクリプトには、攻撃者サイトに接続した上でコマンド実行を待ち受ける処理でも書いておけばよい
オ: CIデーモンによってコンテナが起動されるのは処理命令を受けたタイミングである。
ソースコードのコミット通知を受け取るたびにコンテナが起動し、
その内部でビルドスクリプトが実行される。
つまり、コンテナ内部にはほかのNサービス利用者のビルドスクリプトは存在せず、
また当然ながら他コンテナ内に出力されたログを取得することもできない
よって選択肢から外れる
2023.10.08 23:49
からみてぃさん(No.14)
誰かお昼にタイムリープして設問1に"オ"を書いてる僕を殴ってくれ。
今ならまだ間に合う
今ならまだ間に合う
2023.10.09 00:49
takuさん(No.15)
WebAuthnの問題で
利用者が送信するパラメータの値とサイトが保持するパラメータの値の一致を確認して認証する的なことを書いたんですけど、これはダメですよね。。。
利用者が送信するパラメータの値とサイトが保持するパラメータの値の一致を確認して認証する的なことを書いたんですけど、これはダメですよね。。。
2023.10.10 19:01
問1と問さん(No.16)
設問2の(4)は、「コンテナに接続し、シェルに設定された環境変数を読み取る方法」が正解なのではないかという気がしてきました。
プロセスYは被害バックエンドのソースコードを外部に送信していたとの情報と、ソースコード取得機能を実行するのがコンテナ内であることを鑑みると、プロセスYはコンテナ内への接続を行った可能性が高いと考えられます。
コンテナに接続さえできれば、シークレットを読み出すにはシェルの環境変数を読み取るだけで良いため、具体的かつ現実的な解答例だと思います。
プロセスYは被害バックエンドのソースコードを外部に送信していたとの情報と、ソースコード取得機能を実行するのがコンテナ内であることを鑑みると、プロセスYはコンテナ内への接続を行った可能性が高いと考えられます。
コンテナに接続さえできれば、シークレットを読み出すにはシェルの環境変数を読み取るだけで良いため、具体的かつ現実的な解答例だと思います。
2023.10.11 23:26
問1と問さん(No.17)
もっとも、「フロントエンドからCIデーモンに送信された情報を傍受する方法」も自然な解答であり、否定する材料も見つからないので悩ましいところです。
2023.10.11 23:34
hogaさん(No.18)
TACとiTECとで、設問1の解答が違いますね。
イ を含むか否か。
イ を含むか否か。
2023.10.12 17:57
たけさん(No.19)
WebAuthnの解答、TACもiTECもオリジンへの言及とは難しすぎませんか。。生体認証で自信満々でした
2023.10.12 19:23
orangekameさん(No.20)
設問1ですが、No.13さんの「イ: コンテナ内からではコンテナ外のプロセスを参照できないため選択肢から外れる」と同じ考えで、イを選択肢から外したのですが、TACでは含んでいますね・・・
急に不安になりました。
急に不安になりました。
2023.10.12 19:42
問3の1さん(No.21)
「コード署名を付与した不正な P アプリを J ストアにアップロードして利用者に配布する。」
のような解答ですが、問題は「Kさんが開始した対応を踏まえ」となっているので、不正な P アプリを J ストアにアップロードする事はできないはずです。
納得いきません。
のような解答ですが、問題は「Kさんが開始した対応を踏まえ」となっているので、不正な P アプリを J ストアにアップロードする事はできないはずです。
納得いきません。
2023.10.12 21:30
橙色文書さん(No.22)
2(4)はビルドスプリプト内で環境変数や実行中のプロセスリストを取得できるコマンドを実行できればシークレットを盗れますが、製品Xに不正な処理と判定される可能性があります。
2023.10.12 21:38
orangekameさん(No.23)
>> 問3の1さん
「Kさんが開始した対応を踏まえ」の部分ですが、私は下記のように問われていると受け取りました。
Kさんはある攻撃を予想し今回の対応を行いました。
その対応を踏まえてKさんが予想した攻撃は何かを答えて下さい。
故に、P アプリを J ストアにアップロードする旨の回答となったと考えました。
2023.10.12 22:38
権兵衛さん(No.24)
> コンテナに接続し、シェルに設定された環境変数を読み取る方法
私こっちの方を書いちゃったんですよね。わざわざフロントエンドの権限・バックエンドの権限を書いているので、フロントエンドからデータベース読むみたいな内容が想定していた解答かも
ただciサービスでフロントバックをわざわざ分けてるサービスって聞いたこと無いなぁ。フロントエンドからしかデータベースが読めないのもいまいちしっくりこない
バックエンドでコマンド実行しているんだから、バックエンドからはシークレット読めないとスクリプト実行出来なくない?フロントでチェックアウトしたタイミングでシークレット展開してバックエンドはそれを実行しているだけだからバックエンドからはアクセス権が必要無いのか。
そうするとci.shを修正してシークレットを出力するスクリプトを書くもしくは送信するスクリプトを書くとかでも一応大丈夫そうな気がする。普通だったらマスキングされている気がしますけど、まぁ特に明記されてないし
2023.10.13 01:20
権兵衛さん(No.25)
> フロントエンドからデータベース読むみたいな内容が想定していた解答かも
と思ったけど別段フロントエンドのサーバーでなんかいじれる権限があるって特に記載ないっすね。(読み飛ばしただけかも)
やっぱここは単純にスクリプト修正して出力するじゃなかろうか
2023.10.13 01:25
問3の1さん(No.26)
>> orangekameさんさん
>Kさんはある攻撃を予想し今回の対応を行いました。
ですので、その対応でアップロードできなくなっていると考えられます。
2023.10.14 06:41
orangekameさん(No.27)
>> 問3の1さん
問3(1)は「本文中の下線⑦について、Kさんが開始した対応を踏まえ、予想される攻撃を、40字以内で答えよ。」です。
⑦は以下が書かれています。
Pアプリ利用者に被害が及ぶ攻撃が行われることを予想し、(イ)
すぐに対応を開始した。(ロ)
攻撃を予想した後に、対応を開始しています。
※⑦時点では、対応を開始したのみで完了していません。
ここでは問われているのは(イ)の予想部分だと思います。
故に「⑦時点の対応完了前で予想される攻撃」と受け取りました。
上記よりアップロードできるのではないでしょうか?
私が問題文を読んでわかりにくいと思ったときは、文書をばらして考えてます。
今回のような場合は次のような感じです。
「本文中の下線⑦について、予想される攻撃を40字以内で答えよ。」And「Kさんが開始した対応を踏まえ」。
これにより、「問われているのは⑦の(イ)だな。(ロ)部分を考慮したらよいのだな。」としています。
うまく説明できなくてすいません。
2023.10.14 07:55
問3の1さん(No.28)
>> orangekameさん
それであれば、「Kさんが開始した対応を踏まえ」を付ける必要はなく「本文中の下線⑦について、予想される攻撃を、40字以内で答えよ。」
で十分です。
2023.10.14 08:36
unkonowさん(No.29)
設問3の(1)は,後にKさんが対応した内容を元に,その時点で予想される攻撃を逆算して答える問題であった。全体的に正答率が高かった。しかし,Kさんが対応した状況という文章だけを見て,Kさんが対応した後に予想される攻撃を答える必要があるなどと曲解する答案が散見された。受験者諸君には,題意をよく汲み取ってほしい。
2023.10.14 10:03
abcさん(No.30)
逆にKさんの対応が不十分だったとして、どのような攻撃が予想されるのでしょうか?回答を知りたいです。
(仮に対応漏れがあったとすれば、その脆弱性を放置したままで問題文が終わっているような気がする...)
(仮に対応漏れがあったとすれば、その脆弱性を放置したままで問題文が終わっているような気がする...)
2023.10.14 11:26
その他のスレッド
»[1276] 令和5年秋期試験 午後試験【問4】 投稿数:240»[1275] 認証認可系の知識の最終確認 投稿数:2
»[1274] 令和3年度 春季試験 午後Ⅱ IPアドレスについて 投稿数:3