【用語解説】平成30年度春季午後1問2【情報処理安全確保支援士】

2021年8月8日情報処理安全確保支援士試験

情報処理安全確保支援士 用語調べ

ここでは、情報処理安全確保支援士の午後問題について、わからなかった単語、ド忘れてしていた単語などを含め用語解説等整理するページです(完全に個人の備忘用)。

こんなこともわからなかったのか!と思われても、ありのまま書きます。

 

 

CONNECTメソッド

CONNECTメソッドとは、HTTPプロキシサーバーに接続して、SSL等の通信を行う際のメソッド。

つまり、プロキシサーバーに「xxxxx.co.jpに、443ポートで通信してよ」とお願いするメソッド。この処理を受けて、プロキシサーバが(自身を経由しつつ)、HTTPS通信を透過的に転送するようになる(TLS や https 通信の中身には一切触れず、IP ヘッダと TCP ヘッダを変更して Web サーバへ転送するのみになる)。結論的にはプロキシは通過するだけのものとなってしまい、やりたい放題になってしまうのが問題ということなのだろうか。

 

悪用例

(今回の問題ではなかったが)このようなCONNECTメソッドが利用できる環境では、マルウェアが外部のC&Cサーバとのバックドアを開設しやすい。また大量の通信ログとなるためマルウェア通信の発見や事後分析が困難になる恐れがある。

対策としては、CONNECTメソッドはHTTPS(ポート443)に代表される特定のプロトコルに限定されて使用されるケースが多い。一方でマルウェアの通信は独自プロトコルやランダムなポートへのアクセスが多く、業務を阻害しない範囲で不要なCONNECTメソッドの通信を制限することでバックドアの遮断につなげることができる。

 

 

ステートフルパケットインスペクション(=ダイナミックパケットフィルタ)

ダイナミックパケットフィルタ方式とも呼ばれ、ファイアウォールを通過する個々のセッションの状態を管理し、その情報に基づき動的にポートを開閉することで詳細なアクセス制御を行うファイアウォール。

 

必要以上のポートを開放するように設定しなくてもよくなる(青枠の例を参照)。個々のセッションごとに過去の通信を保持しているため「順序の矛盾した攻撃パケットを遮断することができる」等が可能(つまり脈絡のない話は遮られるけど、一連の流れとして関係する会話は続けられるといった動作)。

 

デメリットとしては、全ての通信のコンテキスト(=文脈)を記録管理しておく必要があることや、(コンテキストを記録する関係上)大量のアクセスを主体とするサイバー攻撃であるDoS攻撃には弱いことが挙げられる。

例えば、社内のクライアントPCからインターネット上のDNSサーバーへ名前解決リクエストを投げる場合、行きのパケットを通過させるには,単純に,あて先ポート番号が53のパケットを通過許可としてルールを設定すればよい。

問題は,DNSサーバーからの戻りパケットのルールである。送信元ポート番号が53の通信を許可してしまうと,送信元ポートが53で通信するように作成したアプリケーションからの通信は,悪意のあるものも含めてすべてファイアウオールを通過し,社内LANに達してしまう。あて先ポート番号でフィルタリングしようと思っても,1024以上のポート番号の通信をすべて許可する必要があり,大きく口を開けることになってしまう。

ステートフルインスペクションの機能を使えば,通過するパケットの状態を監視し,行きのパケットの通過を許可した時点で,戻りのルールを動的に設定,許可することができる。なお,この戻りパケット用のルールは一定時間で無効となる。

 

 

オープンリゾルバ

オープンリゾルバ(英:open resolver)とは、アクセス制限を行わず、インターネット上のどこからでも名前解決の問い合わせに応答する状態になっているキャッシュDNSサーバーのこと。

オープンリゾルバは、攻撃の踏み台に利用されるリスクが高く「DNSリフレクター攻撃」などのDDos攻撃に利用される場合がある。

 

 

平成30年度春季の用語解説