情報処理安全確保支援士合格を目指すブログ

2024年度に情報処理安全確保支援士に合格したいです。Microsoft Azure関連についても投稿します。

令和2年秋期 午前Ⅱ 調査メモ (デジタルフォレンジックス/DHCPDISCOVER/STP/コミット)

問13関連 デジタルフォレンジックスとは?

 

◾️デジタルフォレンジックス(Digital Forensics):

・目的: デジタルフォレンジックスは、デジタルデータや情報を収集し、分析して、法的な調査や証拠の収集に利用することを目的としています。主に犯罪捜査や法的な紛争解決において使用されます。
・アプローチ: デジタルフォレンジックスは、デジタル環境におけるデータの回復、解析、検証などのプロセスを含みます。これには、コンピュータのハードドライブやメモリ、ネットワーク通信などからデータを抽出し、状況を再構築することが含まれます。

 

問16 SMTP-AUTHの特徴は?

SMTP-AUTHを使用するには、クライアント側で認証情報(ユーザー名とパスワード)の設定・認証を行う。これにより、正当なユーザーのみがメールを送信できるようになります。

 

問17 インターネットサービスプロバイダ(ISP)が,スパムメール対策として導入するIP25Bに該当するものはどれか。

OP25Bが不審なメール送信を拒否するのに対し、IP25Bでは不審な送信元からのメール受信を拒否する。

IP25B(メール着信防止)(OCN迷惑メール対策) | OCN

 

OP25B(メール送信規制)(OCN迷惑メール対策) | OCN

--抜枠--

OP25B(アウトバンドポート25ブロック)を実施しているOCN以外のプロバイダーの接続回線より、OCNのメールサーバーを利用してメールを送信する場合に、SMTPS-AUTH(465番)を使用してメールの送信が可能です。

--------

 

問18 PCからDHCPサーバに対する最初の問合せの宛先IPアドレスとして,適切なものはどれか

 

・DHCPDISCOVERメッセージは、Dynamic Host Configuration Protocol(DHCP)において、ネットワーク上で利用可能なIPアドレスを探すためにクライアントがブロードキャストで送信するメッセージです

送信元IPアドレスは0.0.0.0で、宛先IPアドレスは "255.255.255.255"です。

 

問20関連 スパニングツリープロトコル

スパニングツリープロトコル、動作の仕組み:ネットワークの基礎を学習する CCNA対策講座(18)(1/2 ページ) - @IT

--抜枠--

ホストからARPリクエストが送信されたとします。ARPリクエストはブロードキャストフレームとしてスイッチに届きます。受信したスイッチは受信ポート以外の全ポートあてにフラッディングをします。

・このような状況を「ブロードキャストストーム」といいます(図1)。ブロードキャストストームが発生すると正常な通信ができなくなります。

・スパニングツリープロトコルによって物理的には冗長構成を維持し、論理的にどこかのポートをブロック状態にしてブロードキャストフレームがループしないようにします

---------

 

問21関連 DBMSトランザクションのコミット処理完了とみなすタイミングは?

 

・ログファイルの書き出し完了時点

(RDBMSがCOMMITを指示すると,メモリー・バッファ内に作成されている,そのトランザクションのログ・データをトランザクションログ・ファイルに書き込む)

↓以下がわかりやすい

第3回 「COMMIT」を実行すると何が行われるのか? | 日経クロステック(xTECH)

令和2年秋期 午前Ⅱ 調査メモ (NOTICE/3Dセキュア/MITB)

問6関連 NOTICEとNICTとは?

NOTICE|サイバー攻撃に悪用されるおそれのあるIoT機器の調査、注意喚起を行うプロジェクト

--抜枠--

NOTICEは、総務省、国立研究開発法人情報通信研究機構NICT)及びインターネットプロバイダが連携し、IoT機器へのアクセスによる、サイバー攻撃に悪用されるおそれのある機器の調査及び当該機器の利用者への注意喚起を行う取組です。
---------

 

問9 3Dセキュアとは?

PINとは別物で、クレジット発行会社に登録済みのパスワードで本人認証を行う。

本人認証サービス(3Dセキュア)|楽天カード

--抜枠--

「本人認証サービス(3Dセキュア)」とは、インターネットショッピングの際、クレジットカード情報だけでなく本人認証パスワードによりご本人様確認をおこなうことで、不正使用を未然に防止するサービスです。

----------

なお、楽天カードだと2023年10月より以下のように認証方法が変更されているのでワンタイムパスワードが主流か。

--抜枠--

<変更前>
楽天e-NAVIにて会員様が設定された固定のパスワードでの認証

<変更後>
ご登録中の携帯電話番号宛に届くワンタイムパスワードでの認証

----------

 

問10インターネットバンキングの利用時に被害をもたらすMITB(Man in the Browser)攻撃に有効な対策はどれか。

◾️MITB攻撃とMITMMan-in-the-Middle)攻撃の違いは?

・MITB攻撃->被害者のブラウザ内(つまりクライアント内)で動作する悪意のあるコードを利用して、ユーザーの行動を盗聴または改ざんします。

・MitM攻撃->通信経路全体を攻撃者が傍受または制御することで、通信内容を盗み見たり改ざんしたりします。

 

◾️トランザクション署名とは?

ユーザーがオンラインで行う取引やアクションに対して、サーバー側で生成された署名がクライアント(ユーザー)によって確認・承認されます。

 

◾️トランザクション署名のメリットは?

クライアントPCがウィルスに汚染され、MITB(Man in the browser)攻撃が行われた際にも、入力情報の正当性を認証サーバ側で検証し、リスクを低減することが可能となる。

https://ftsafe.co.jp/products/otp/c300otp/

 

◾️トランザクション署名の処理の流れは?

トランザクション署名の基本的な仕組みは以下の通りです:

1.サーバー側の署名生成: サーバーは、ユーザーの要求に対して署名を生成します。これには、取引の詳細や一意のトークンなどが含まれます。

2.クライアントへの署名送信: サーバーが生成した署名は、セキュアな手段でクライアントに送信されます。通常、この署名はセッション中に一意の方法で関連付けられています。

3.クライアントによる確認・承認: クライアント(ユーザー)は、サーバーから受け取った署名を確認し、取引内容やアクションに同意するために署名を承認します。これは通常、クライアントが保有するデバイススマートフォントークンデバイスなど)を介して行われます。

4.署名の検証: サーバーはクライアントが承認した署名を受け取り、サーバー側でもその署名を検証します。署名が有効であれば、取引やアクションは正当化されます。

 

トランザクション署名の導入により、MITB攻撃が成功しても攻撃者が取引内容を改ざんすることが難しくなります。

 

↓以下は別の記事で

 

問13 デジタルフォレンジック

問16 SMTP-AUTH

問17 IP25B/OP25B

IP25B(メール着信防止)(OCN迷惑メール対策) | OCN

OP25B(メール送信規制)(OCN迷惑メール対策) | OCN

問18 DHCPDISCOVER

問20 スパニングツリープロトコル

問21 DBMSのコミットのタイミング

平成31年春期 午前Ⅱ 問13関連 (WPA2、IEEE 802.1X)

問13 無線LANの情報セキュリティ対策に関する記述のうち,適切なものはどれか。
EAPは,クライアントPCとアクセスポイントとの間で,あらかじめ登録した共通鍵による暗号化通信を実装するための規格である。
RADIUSは,クライアントPCとアクセスポイントとの間で公開鍵暗号方式による暗号化通信を実装するための規格である。
SSIDは,クライアントPCごとの秘密鍵を定めたものであり,公開鍵暗号方式による暗号化通信を実装するための規格で規定されている。
エ WPA2-Enterpriseは,IEEE802.1Xの規格に沿った利用者認証及び動的に配布される暗号化鍵を用いた暗号化通信を実装するための方式である。

 

正解・・・エ

 

<ポイント>

IEEE802.1XはLANに接続する機器を認証する標準規格(有線LAN/無線LAN)

・WPA2は無線LAN暗号化の種類で、EnterpriseモードはIEEE802.1Xの仕組みを使う

WPA2-Enterpriseは、ユーザーごとに異なる鍵を動的に生成し、通信の暗号化に使用する

 

<調べた内容>

◾️WPAとは?

WPA(Wi-Fi Protected Access)は、無線LANWi-Fi)ネットワークのセキュリティを向上させるために開発されたプロトコルです。

 

◾️WPAとWPA2の違いは?

WPA(Wi-Fi Protected Access)とWPA2(Wi-Fi Protected Access 2)は、無線LANのセキュリティプロトコルであり、前者が後者の進化版。

主な違い:

 

暗号化アルゴリズム:

    • WPA: TKIP(Temporal Key Integrity Protocol)暗号化アルゴリズムを使用します。
    • WPA2: AES(Advanced Encryption Standard)暗号化アルゴリズムを導入し、より強力なセキュリティを提供します。AESはTKIPよりも安全で高速です。
  1. 鍵の管理:

    • WPA: Pre-Shared Key(PSK)またはパスフレーズを使用して鍵を管理します。
    • WPA2: PSKの他に、エンタープライズ環境向けに802.1X/EAP(Extensible Authentication Protocol)を使用した強力な鍵管理が導入されました。
  2. セキュリティの強化:

    • WPA2はWPAよりもセキュリティが向上しています。WPA2は、AES暗号化と強力な鍵管理により、より頑健で高度なセキュリティを提供します。
  3. 脆弱性への対応:

    • WPA2は、WPAで発見された一部の脆弱性に対処するために設計されました。WPA2は、特にTKIPに関連するセキュリティ上の問題を改善しています。
  4. サポートされる機能:

    • WPA2は、WPAでの経験とセキュリティの向上に基づいており、より新しい機能と技術をサポートしています。これには、802.11iのフレームワークが含まれています。

◾️WPA2 PersonalとEnterpriseの違いは?

WPA2 Personalは共有されたパスフレーズを使用する単純な認証方法で、WPA2 Enterpriseは個別のユーザーアカウントや認証証明書を使用するより高度でセキュアな方法です。

 

◾️WPA2 Enterpriseでの暗号化鍵の動的配布とは?

WPA2-Enterpriseは、ユーザーごとに異なる鍵を動的に生成し、通信の暗号化に使用します。これにより、ユーザー間の通信がセキュアになります。

WPA2-Enterpriseでは、通常、以下の手順が取られます:

  1. 1.ユーザー認証: ユーザーがネットワークに接続しようとすると、802.1X認証フレームワークを使用してユーザー認証が行われます。これにより、ユーザーが有効な認証情報を持っているか確認されます。

  2. 2.鍵の生成: 認証が成功すると、ユーザーごとに異なる鍵を生成します。これは、Pairwise Master Key(PMK)と呼ばれるものです。

  3. 3.鍵ハンドシェイク: ユーザーとアクセスポイント(AP)間で鍵ハンドシェイクが行われ、Pairwise Transient Key(PTK)が生成されます。PTKは、通信の暗号化に使用されるセッション鍵を含みます。

  4. 4.通信の暗号化: PTKが生成されると、ユーザーとAP間の通信は、そのセッション鍵を使用して暗号化されます。これにより、通信のプライバシーとセキュリティが確保されます。

WPA2-Enterpriseの動的な鍵管理は、セキュリティの向上と、異なるユーザーが同じ鍵を共有しないようにするために重要です。これにより、ネットワークへのアクセスがより安全で個別化されます。

令和元年秋午前II 調査メモ2(TLS/EAP-TLS/DNSSEC)

わからなかったor気になる問題を見返すためのメモ

 

問14関連 Webサイトの常時SSL/TLSのセキュリティ上の効果は

なりすましや改ざんの防止などの効果が期待できる。

参考)

SSL/TLS サーバー証明書の基礎知識|BLOG| サイバートラスト

cybertrustより引用

 

 

問16関連 IEEE802.1Xで使われるEAP-TLSが行う認証はどれか

◾️IEEE802.1X認証方式とは

有線LANおよび無線LANで、認証された機器以外がネットワークへアクセスできないよう制限するIEEEの認証規格

◾️IEEE802.1Xの特徴は

・認証サーバー(RADIUS)を使って認証する

・認証プロトコルとして、PPPを拡張したEAPを使う

◾️EAP-TLSとは

デジタル証明書でサプリカント(クライアント)と認証サーバーを相互認証する

 

問18関連 DNSSEC

◾️DNSSECとは

DNS応答が正しいサーバーから応答されたものであるか検証する仕組み。

DNSの名前解決情報をデジタル署名で認証する。

◾️DNSSECの手順

1.DNSの名前解決情報のハッシュ値からデジタル署名を作る

2.デジタル署名をRRSIGレコードとして登録する

3.名前解決情報を受け取った側は、RRSIGレコードを公開鍵で検証する

 

参考)

DNSのセキュリティ拡張"DNSSEC"入門|【技業LOG】技術者が紹介するNTTPCのテクノロジー|【公式】NTTPC

図1 DNSSECのしくみ 電子署名によって正しいDNSサーバーからの回答であることを証明する。DNSキャッシュ・ポイズニングなどの攻撃を防ぐ。 | 日経クロステック(xTECH)

 

日経XTECHから引用

 

令和元年秋午前II 調査メモ(FIDO/BlueBorne/DKIM/マルチベクトル型DDoS)

令和元年秋午前IIの気になる部分のメモ1

 

問1関連 FIDO UAF

◾️FIDOとは?

FIDOは公開鍵暗号方式を使用したクライアント認証技術。

◾️FIDO UAFとは?

バイス経由で生体認証を行い、パスワードを使わずに認証できる仕様

◾️特徴:

・認証に必要な秘密情報は認証を行う端末側のみに保存されるため、ネットワーク上での伝送やサーバー側での保存の必要がない

・利用者がID・パスワードを覚えておく必要がない

 

参考) 図がとてもわかりやすい

https://www.mhlw.go.jp/content/10800000/000537443.pdf

厚生省・NRIより引用

問10関 BlueBorneの説明はどれか

◾️BlueBorneとは?

BlueBorneはBluetoothを利用した脆弱性

Bluetoothの実装における欠陥に起因しており、攻撃者がBluetoothを介してデバイスに侵入し、機密情報を盗む可能性がある。

Android,iOS,Windows,Linux,macOSなどさまざまなOSに対し影響を与えた。

◾️対策

バイスメーカーやソフトウェアプロバイダが提供する最新のセキュリティパッチやアップデートを適用

 

問12関連 DKIMの説明はどれか

◾️DKIMとは?

DKIM (DomainKeys Identified Mail)は、 電子メールにおける送信ドメイン認証技術の一つ。メールを送信する際に送信元が電子署名を行い、 受信者がそれを検証することで、 送信者のなりすましやメールの改ざんを検知できるようにするもの。

◾️SPF(Snder Policy Framework)との違いは?

SPFは送信者のIPアドレスが正当かを確認することで、メールの送信元を確認する。

(SPFは送信者のドメインDNSレコードにSPFレコードを追加する)

 

参考)

SPF, DKIMの特徴と違い | SendGridブログ

SendGridから引用

問13関連 マルチベクトル型DDoS攻撃

◾️マルチベクトル型DDoS攻撃とは?

マルチベクトル型DDoS(Multi-Vector DDoS)攻撃は、複数の異なる手法やプロトコルを組み合わせて行われるDDoS攻撃の形態

以下は、マルチベクトル型DDoS攻撃で使用される可能性があるいくつかの攻撃ベクトルの例:

  1. UDP Flood: User Datagram Protocol (UDP) フラッドは、UDPパケットで目標サーバーをオーバーフローさせ、リソースを過負荷にします。

  2. TCP Flood: Transmission Control Protocol (TCP) フラッドは、TCP接続の数を増やし、サーバーのリソースを使い果たすことを目的とします。

  3. ICMP Flood: Internet Control Message Protocol (ICMP) フラッドは、Ping要求などのICMPメッセージを大量に送信して、帯域幅を占有し、リソースを消費させます。

  4. HTTP/HTTPS Flood: ウェブサーバーに対する大量のHTTPまたはHTTPSリクエストを送信し、サーバーのリソースを過負荷にさせます。

  5. DNS Amplification: 拡大DNS(Domain Name System)攻撃は、DNSリクエストを悪意のあるリソースに送り、その応答を目標に対して増幅させることで、サービスを妨害します。

以下は次回へ

問14関連

Webサイトの常時SSL/TLSのセキュリティ上の効果は

問16関連

IEEE802.1Xで使われるEAP-TLSが行う認証はどれか

問18関連

DNSSEC

平成31年春午前II 調査メモ

間違えた問題のメモ

 

問4関連

◾️ハッシュ関数の性質を示す用語

衝突発見困難性・・・ 2つの異なる入力値が同じハッシュ値を生成する事が難しい性質

第二原像計算困難性・・・特定の入力値に対して、そのハッシュ値と同じハッシュ値を持つ別の入力値を見つけることが難しい性質

原像計算困難性・・・特定のハッシュ値に対して、そのハッシュ値を生成する元の入力値を見つけることが難しい性質

 

問8関連

◾️トランザクション署名とは?

MAC(Message Authentication Code)を使用したトランザクション署名は、通信の整合性と認証を確保するために利用される手法です。一般的には、MAC秘密鍵を使用してメッセージに署名を行い、メッセージの改ざんを防ぐことが主な目的です。

 

問9関連

◾️CRYPTREC暗号リストとは?

参照すべき暗号のリスト

1.電子政府推奨暗号リスト・・・現在において利用を推奨するリスト

2.推奨候補暗号リスト・・・電子政府推奨暗号リストに掲載される可能性があるリスト

3.運用監視暗号リスト・・・解読リスクがあり推奨ではないが、互換性維持のために継続利用を容認するリスト

 

参考) 令和5年3月30日版

https://www.cryptrec.go.jp/list/cryptrec-ls-0001-2022.pdf

 

問10関連

◾️CSRF(クロスサイト・リクエスト・フォージェリ)とは?

・Webアプリケーションに存在する脆弱性、もしくはその脆弱性を利用した攻撃方法のこと

掲示板や問い合わせフォームなどを処理するWebアプリケーションが、本来拒否すべき他サイトからのリクエストを受信し処理してしまう

IPAより抜枠

参考

安全なウェブサイトの作り方 - 1.6 CSRF(クロスサイト・リクエスト・フォージェリ) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

◾️対策例

・利用者のパスワードを都度入力させる

・毎回異なる値をHTTPレスポンスに含め、Webブラウザからのリクセストごとに送付されるその値を、Webサーバー側で照合する

→攻撃者に推測されにくい任意の情報を照合する処理を実装する。照合に使う任意の情報の例としては、セッションID、ページトークン、ランダムな数字などがある。

参考

クロスサイトリクエストフォージェリ(CSRF) | トレンドマイクロ

Webブラウザからのリクエスト中のReferが正しいリンク元かを確認し、正しい場合のみ処理する

 

問16関連

◾️OCSPとは?

デジタル証明書の失効情報をリアルタイムで問い合わせる

 

参考)

OCSP (Online Certificate Status Protocol)|SSL/TLS サーバー証明書 SureServer| サイバートラスト

--抜枠--

OCSP に対応した Web ブラウザーからサーバー証明書が設定されている Web サイトへ接続を行う際、証明書の「機関情報アクセス(Authority Info Access )」の「オンライン証明書状態プロトコル」という項目で指定された OCSP サーバーの URL へ自動でアクセスします。

OCSP サーバーには CRL が保存されており、その CRL に登録されているすべてのシリアル番号と Web サーバーから送られてきた証明書のシリアル番号を照合して一致しているかを確認し、Web ブラウザーへ確認結果を送信します。

---------

参考)こちらの図が大変わかりやすい

OCSPとは | OSSのデージーネット

designet.co.jpより抜枠

問19関連

◾️SNMPとは?

バイスをネットワーク経由で監視や制御をするプロトコル

 

参考)

ネットワーク監視の超基本「SNMP」とは? - ManageEngine ブログ ManageEngine ブログ

--抜枠--

Get Request : 指定した識別子(OID)の管理情報をSNMPエージェントから取得
GetNext Request : 指定した識別子(OID)の次の管理情報をSNMPエージェントから取得
Set Request : SNMPエージェントの制御
Trap : SNMPエージェントからの状態通知

--------

 

問25関連

◾️システム監査における監査調書とは?

監査人が、実施した監査のプロセスを記録したもの

(監査報告書の根拠となる)

 

会計・監査用語かんたん解説集:監査調書 | 日本公認会計士協会

--抜枠--

監査計画、実施した監査手続の内容や発見した問題点、関連資料、結論などを文書化したもの。

--------

POODLE(CVE-2014-3566)攻撃の説明はどれか (平成28年秋期 午前Ⅱ 問3)

問3 POODLE(CVE-2014-3566)攻撃の説明はどれか。
SSL 3.0のサーバプログラムの脆弱性を突く攻撃であり,サーバのメモリに不正アクセスして秘密鍵を窃取できる。
SSL 3.0を使用した通信において,ブロック暗号のCBCモード利用時の脆弱性を突く攻撃であり,パディングを悪用して暗号化通信の内容を解読できる。
TLS 1.2のプロトコル仕様の脆弱性を突く攻撃であり,TLSの旧バージョンにダウングレードして暗号化通信の内容を解読できる。
TLS 1.2を使用した通信において,Diffie-Hellman鍵交換アルゴリズム脆弱性を突く攻撃であり,交換されたセッション鍵を窃取して暗号化通信の内容を解読できる。

 

ア・・・ハートブリード(Heartbleed/心臓出血)攻撃

イ・・・正解

ウ・・・ダウングレード攻撃(バージョンロールバック攻撃)。

エ・・・Logjam攻撃

 

参考

https://www.ipa.go.jp/archive/security/crypto/gmcbt80000005u1p-att/000067460.pdf

 

-Poodleに関するまとめ-

"Poodle"(プードル)は、SSL 3.0のセキュリティ上の脆弱性に関連する攻撃の名前です。この攻撃は2014年に発見され、SSL 3.0プロトコルにおいて特定の攻撃手法により暗号通信の機密性が危険にさらされる問題が明らかになりました。

"Poodle"は「Padding Oracle On Downgraded Legacy Encryption」の頭文字を取ったもので、攻撃者がSSL 3.0の脆弱性を利用して徐々にセキュリティを回避し、暗号通信を傍受できる可能性があります。

主な特徴や影響は以下の通りです:

  1. 対象プロトコル: 主にSSL 3.0プロトコルが対象とされます。

  2. 攻撃手法: 攻撃者はクライアントとサーバーの通信を中間で傍受し、徐々にSSL 3.0の機能を無効にして、最終的に攻撃を実行します。

  3. 影響: 攻撃が成功すると、攻撃者は暗号通信の内容を解読でき、情報漏洩のリスクが生じます。

  4. 対策: Poodle攻撃への対策として、SSL 3.0プロトコルの無効化が推奨されました。代わりにより安全なプロトコルであるTLS(Transport Layer Security)を使用することが勧められています。

この脆弱性が広く知られたことで、多くのウェブサービスやブラウザがSSL 3.0を無効化し、より安全な通信プロトコルに移行する動きが強まりました。

--------------------------