情報処理安全確保支援士 - SE娘の剣 -

情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。

カテゴリ: 2.脅威

scavengeとはごみ箱をあさるという意味。トラッシング(H27年春FE午後問1の選択肢にあった)も同じである。
ゴミ箱に捨てられた機密情報や個人情報を盗むというソーシャルエンジニアの手法。
※トラッシュ(trash)とは、「ゴミ」という意味である。
過去問(H25SC春午前2問5不正解選択肢)では、「企業などの機密情報を詐取するソーシャルエンジニアリングの手法の一つであり,オフィスの紙ゴミの中から不用意に捨てられた機密情報の印刷物を探し出す」とある。
シュレッターに入れずにゴミ箱に入れる人がいるから、そういうところから情報が漏れることもあるだろう。
55c44db1

でも実際には無理ではないですか?
掃除のおばちゃんに変装して社内に入らなければいけないし、ゴミ箱をあさっていたら誰かにあやしまれるでしょう。
TVドラマでは、夜に忍び込んでゴミをあさるシーンがありますが、、、。

そんな方法はたしかに無理だね。
社内のゴミ箱をあさるのではなく、オフィスの外のゴミ捨て場をあさる。ゴミ捨て場はカギがかかっていないし、変装した人がゴミを分別するふりでもすれば、違和感ないでしょ。

攻撃の概要
セッションフィクセーションとは,「セッションIDの固定化」とも呼ばれる攻撃手法である。
情報セキュリティスペシャリスト試験を目指す女性SE
フィクセーション(fixation)のfixは「固定する」という意味ですよね
だから、ログイン前後(http→https)にて、同じセッションID使っている(=セッションIDが固定化している)ときに受ける攻撃ですよね。
間違ってもいいないが、正確でもない。たしかに、セッションIDが同じだと、この攻撃を受けやすい。
ただ、セッションフィクセーションの攻撃は、攻撃者が事前にセッションIDを取得し,利用者に使用させることで,攻撃者が利用者のログイン権限になりすます攻撃を指す。過去問(H29春SC午前Ⅱ問5)では、「セッションIDの固定化(Session Fixation)攻撃の手口」に関して、「悪意のある者が正規のWebサイトから取得したセッションIDを、利用者のWebブラウザに送り込み、利用者がそのセッションIDでログインして、セッションがログイン状態に変わった後、利用者になりすます」とあります。

過去問(H27年SC春午後1問1)には以下の記述がある。
T君:はい。図6の一連のHTTPヘッダのうち,例えば,行番号[ d ]と行番号[ e ]を見比べると,サーバ側のセッション管理に問題があり,セッションフィクセーションの脆弱性が存在する可能性があります。攻撃者がCookie Monster Bugを突く攻撃や,前述したHTTPヘッダインジェクション攻撃を組み合わせることによって,セッションフィクセーションを成功させる可能性があります。図9に攻撃手順の一例を示します。

1.攻撃者Jが,試験用サイトの画面Aにアクセスし,セッションIDを取得する。このときの,セッションIDを“01234”とする。
2.攻撃者Jが,攻撃対象の利用者KにHTMLメールを送信する。このHTMLメールにはURLリンクがあり,攻撃用のクエリ文字列を含む画面CのURLが記載されている。
3.利用者Kが,試験用サイトの画面Aにアクセスし,セッションIDを取得する。このときの,セッションIDを“56789”とする。その後,HTMLメールのURLリンクをクリックする。その際に送信されるHTTPリクエストには,攻撃者Jが用意した攻撃用クエリ文字列が含まれており,検索文字列の値は次のとおりである。
%0d%0aSet%2dCookie%3a%20SESSIONID%3d[ f ]%3b%20Expires%3d(省略)domain%3dexample%2eco%2ejp%3b(省略)
4.利用者Kがログインする。
5.攻撃者Jは,利用者Kになりすまし,本来はアクセス権限がない画面にアクセスできるようになる。
                                    図9 攻撃手順の一例
dとeは、ログイン前とログイン後で,SESSIONIDの値が変わっていない点が設問にて問われている。
また、fには「01234」が入る。

簡略化して図にすると、こんな感じである。
セッションフィクセーション_情報セキュリティスペシャリスト試験

対策
この問題には、セッションフィクセーションの脆弱性対策として、「ログイン後の,画面Eから画面Cに遷移する際の,サーバ側の処理において[ g ]といった対策を行うことによって,この脆弱性を確実に防ぐ」とある。

この空欄gが、セッションフィクセーションの攻撃を防ぐシンプルな対策である。
まず、なぜセッションフィクセーションの脆弱性につながったかのか。それは、ログイン前とログイン後で同じセッションIDを利用しているからである。仮に攻撃者がセッションIDを送り込んだとしても、画面Eから画面Cに遷移する際に、サーバが新しいセッションIDを割り当てればよい。そうすれば、攻撃者がセッションIDを知ることができないし、不正なアクセスをすることもできない。 

解答:新しいセッションIDによるセッションを開始する

情報セキュリティスペシャリスト試験を目指す女性SE 
【ポイント】
セッションハイジャックは、セッションIDを盗む。
セッションフィクセーションは、自分が用意したセッションIDを使わせる。

H29秋SG午後問2で、「ウェブ健康診断仕様」における「クローラへの耐性」が問われました。(といっても、選択式)
https://www.ipa.go.jp/files/000017319.pdf

クローラとは、検索エンジンがサイトの情報を知るためのプログラムです。クローラの通信により、サーバのレスポンスが悪化する場合があります。つまり、可用性が失われるのです。これに耐えられるかが「クローラへの耐性」です。

IPAの資料に詳しい解説が記載されています。
https://www.ipa.go.jp/security/announce/20141017-ssl.html

POODLE(Padding Oracle On Downgraded Legacy Encryption)攻撃とは、そのフルスペルにあるPadding(詰め物と考えてください)に関する脆弱性を突きます。SSL3.0を利用した通信(その多くはhttps)をすると、通信を盗聴されるなどの危険があります。

対策は、SSL3.0を無効化し、TLSによる通信を行うことです。

過去問を見ましょう。
問3 POODLE (CVE-2014-3566)攻撃の説明はどれか。
ア SSL 3.0のサーバプログラムの脆弱性を突く攻撃であり,サーバのメモリに不正アクセスして秘密鍵を窃取できる。
イ SSL 3.0を使用した通信において,ブロック暗号のCBCモード利用時の脆弱性を突く攻撃であり,パティングを悪用して暗号化通信の内容を解読できる。
ウ TLS 1.2のプロトコル仕様の脆弱性を突く攻撃であり,  TLSの旧バージョンにダウングレードして暗号化通イ言の内容を解読できる。
エ TLS 1.2を使用した通信において,  Diffie-Hellman鍵交換アルゴリズムの脆弱性を突く攻撃であり,交換されたセッション鍵を窃取して暗号化通信の内容を解読できる。

正解はイです。

■H30春SC午後Ⅰ問1設問1
本文中の空欄a,空欄bに入れる適切な脆弱性名を,解答群の中から選び,記号で答えよ。
解答群
 ア CSRF             イ SQLインジェクション
 ウ Use-After-Free        エ クロスサイトスクリプティング
 オ コマンドインジェクション   カ バッファオーバフロー
 キ フォーマットストリングバグ  ク レースコンディション
問題文の該当部分は以下です。
確保済みメモリ領域を超えてデータを書き込んでしまう[ a ]と呼ばれる脆弱性の報告が以前から多かった。最近は解放したメモリ領域を後から使用してしまう[ b ]と呼ばれる脆弱性の報告も多くなってきている。
[空欄a]
問題文には「確保済みメモリ領域を超えてデータを書き込んでしまう」とあります。これは知識問題で,正解は「バッファオーバフロー」です。
[空欄b]
空欄bの説明としては,「解放したメモリ領域を後から使用してしまう」とあります。正解は「Use-After-Free」です。2問とも,答えを知らないと解けない知識問題でした。しかし,「Use-After-Free」を日本語にすると,「解放したメモリ領域を後から使用」と関連性がありそうと感じた人もいることでしょう。

解答例:a カ   b ウ

参考までに、他の選択肢を簡単に解説します。
■フォーマットストリングバグ
ストリングとは文字列のことです。IPAのセキュアプログラミング講座にには「フォーマット文字列攻撃は、printf() 等の関数の書式引数に外部からの入力データがそのまま渡るようになっている場合に起こり得る。」とあります。

■レースコンディション
IPAのセキュアプログラミング講座にはレースコンディションに関して、「並列動作する複数の存在(プロセスやスレッド)が同一のリソースへほぼ同時にアクセスしたとき、予定外の処理結果が生じる問題」と述べられています。イメージとしては、「ファイルを添付してメールを送ろうとしたら、同時に別の人がファイルを書き換えた。結果として、送るべきではないファイルを送ってしまった。」そんな感じです。
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/c304.html

スポンサードリンク

↑このページのトップヘ