H25第2回-伝送交換設備及び設備管理-問5

ポートスキャン、情報システムの設計及び運用セキュリティ、デジタル署名について

(1)ポートスキャンの概要について

攻撃者がインターネット経由でサーバに攻撃を行う際、攻撃対象に対して事前調査を行うことがある。この調査には、ICMPプロトコルを使用した【pingコマンド】を用いて対象のサーバの稼動状態を確認する方法、ポートスキャンにより攻撃対象のサーバがどのようなサービスを外部に公開しているかなどを確認する方法がある。

ポートスキャンは、サーバとの通信が【トランスポート】層プロトコルであるTCPやUDPを用いて行われていることを利用しており、各ポートに対して開いているかどうかを連続で調べていくことにより、対象サーバが提供しているサービスを特定することができる。

ポートスキャンにはさまざまな手法がある。このうち、【TCP接続】スキャンは標的ポートに対して完全なスリーウェイハンドシェイクを行うため、サービスの特定精度は高いが対象サーバのログに残る可能性は高い。

一方、【TCP SYN】スキャンはスリーウェイハンドシェイクの途中でRSTを返信することでコネクション確立を行わないため、対象サーバのログに残りにくい。

ポートスキャンにより提供サービスが攻撃者に知られてしまうとサーバの脆弱性に対して攻撃を仕掛けられる恐れがあるため、
不要なサービスは停止し、ポートを閉じるなどの対策を講じておくことが望ましい。

(2)情報システムの設計及び運用においてセキュリティ上配慮すべき事項などについて

<(オ)の解答群>

①セキュリティインシデント発生時やシステム障害発生時などにはネットワーク機器やホストのログが重要な情報源となる。ログの収集、分析、監査などを行うことによって、セキュリティインシデントの早期発見や防止に役立てることができる。

②セキュリティインシデントに対応することは、 【インシデント対応】と言われる。適切な 【インシデント対応】を行うためには、セキュリティポリシーをベースとして、実際のルールやフローを明確にしておく必要がある。

③アクセス制御における基本原則には、任命された業務を遂行するために必要な権限のみを与えることとされている。

④アクセス制御には、大別して、ファイヤーウォールなどを用いてネットワークの境界で行う方法とホストのOSやアプリケーションで行う方法がある。アクセス制御の結果は、一般に、ログとして記録される。

(3)WEB経由の攻撃について

A:Java Scriptは、Webページに動きや対話性などを付加することができるJava類似のプログラム言語であるが、Java Scriptを攻撃対象のWebページに埋め込み、そのページの閲覧者を不正サイトに誘導したり、データを盗用したりするために用いられる場合がある。

B:データベースと連携したWebサイトに対する攻撃手法の一つに、クロスサイトスクリプティングがある。クロスサイトスクリプティングは、【入力データに悪意あるスクリプトを混入させて不正を行う】ことを目的としている。

C:攻撃者がURLのパラメータなどにOSのコマンドを挿入し、利用者が意図しないOSコマンドを実行させる攻撃は、一般に、OSコマンドインジェクションと言われ、重要情報が盗まれたり、攻撃の踏み台に悪用される恐れがある。

(4)PKIの構成要素などについて

①デジタル証明書申請者は、デジタル証明書及びこれに対応する【秘密鍵】を安全に保持しておく必要がある。

②デジタル証明書利用者は、認証局が保有するリポジトリから情報を入手して受け取った【公開鍵証明書】が有効か否かを確認する。

③認証局では、提出された公開鍵と申請者の情報に認証局の認証局の秘密鍵を用いて署名することにより、デジタル証明書を作成する。

④有効期間内のデジタル証明書であっても、秘密鍵の漏洩やデジタル証明書申請者から失効の申し出などがあった場合には、認証局では当該のデジタル証明書をCRLに加え、【CRLは認証局より入手でき、有効性を確認できる。】

メモ:
CRL(Certificate Revocation List):証明書失効リスト

(5)デジタル署名又はMACについて

<(ク)の解答群>

①送信データへのデジタル署名は、悪意のある第三者による送信データの改ざんの有無と署名を行った送信者のなりすましを確認することができ、送信者が否認することの防止、改ざん検出、認証などに利用されている。

②デジタル署名では、署名を行った送信者の公開鍵が漏洩しても、なりすましやメッセージの改ざんの危険は発生しない。

③MAC(Message Authentication Code)は、送信者と受信者が鍵を共有するため、受信者が認証情報の改ざんを行うことが可能である。

④DSAデジタル署名は、ELGamal署名の一種で、【離散対数問題の困難性】を用いた公開鍵ペアを用いている。

メモ:
DSA(Digital Signature Algorithm)

コメント