.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

午後Ⅰ

平成31年

...

  • 問1
  • 一部に、CSRF(XSRF)の話も混じる。
    ・JSONPに認証が無い話を混ぜている。
    ・それで、CORSを採用した。的な流れになって行く。
  • 知識
    • CORSとPreflight requestの基本知識に加え以下の詳細知識。
    • Preflight requestでCookieが送信されるのは、Main request。
    • Main requestの前に、ブラウザが確認すること
      (各Access-Control-Allowの内容をクリアしているかどうか)。
  • 問2
  • 概要
    • クラウドメールサービス利用からのフィッシング。
    • 社外Wi-Fiアクセスポイントが攻撃者に仕込まれていたため。
  • 対策
    • IDMaaSを使用した認証連携
    • 2要素認証的に、WebAuthnを追加
  • 知識
    • 攻撃者のDNSの情報がDHCPで配信
    • 攻撃者のフィッシングサイトに誘導
    • サービスにHSTSが設定されていなかった為、
      フィッシングされ易かった的な話が挟まれる。
    • 認証連携 + 2要素認証でフィッシング対策
    • 2要素目にOTPではなくWebAuthn?を採用する理由。
  • 引掛
  • Wi-Fi設定(攻撃者の仕込み)
    DNSのDHCP配信だけでなく
    「ホテルのSSIDとパスワードと一致させておく。」
    を忘れずに...。
  • OTPに対する攻撃
    リアルタイムな中間者攻撃で認証情報を転送する。
    (リアルタイムで認証情報を手入力と書いたら?)
  • WebAuthn?
    ・4つの鍵の対応は問題文中から拾う。
    ・フィッシング防止をどう完結に言うか。
     → 秘密鍵Kを保有しておらず署名Mを生成できないから。
     ...と、登録フェーズではなく、認証フェーズの事を言う
     (まぁ、TPMが違うとか、違う言い方もできそうだケド)。
  • 問3
    ゲームのケース・スタディ
  • 概要
  • JWT化されたOAuth2的
    ・認証サーバ(AuthN)
    ・ゲーム機(Client)
    ・ゲームサーバ(Resource Server)
  • その他、ゲーム機には
    ・クライアント認証のためTPMが実装され、
    ・ブートローダとOSの改ざん対策が施される。
  • 知識
  • 上記で言っている事が理解できればOK
  • また、JWT生成に、共通鍵 or 公開鍵を選択した場合、
    ・何がどう変わるか?を説明できる知識が必要。
    ・公開鍵の場合、何処に何の鍵を配置するか?
  • ブートローダとOSの改ざん対策としては、
    ・実行ファイルのハッシュ値リストを使用する。
    ・ハッシュ値リストは改ざんれないようTPM内に保存される。
  • 引掛
  • 共通鍵の場合の利用範囲
    同じゲーム開発会社が開発したゲーム
    ...というのを以下の問題文中から拾う必要がある。
    ・ゲームサーバはゲーム開発会社が運用管理
    ・管理者は当該ゲーム開発会社の
     ゲーム向けのトークンを生成できる。
    ・故に、当該ゲーム開発会社の開発したゲーム(なるほど解らん)。
  • PC(AIやボット)に操作させる的な話
    ゲーム解らんので、あまりピンとこないけど、
    (Clientの秘密鍵の入ったSSDを、そのままPCに接続するみたいな方法で)
    Clientの秘密鍵を使って、PCに操作させることで、
    ゲームを有利に進めることが出来ることが問題らしい。
  • 感想
    • 問1 : 捻りがなく知識があれば簡単。
    • 問2 : 一般的だが、引掛が多い印象。
    • 問3 : ゲームのケース・スタディは、オレオレ感あって少々難しさがある。

平成30年

  • 問1
  • 概要
    IoT機器のバッファオーバーフロー系(C/C++)
  • 知識
  • 引掛
  • メモリのアドレスの方向
    下位アドレスが上に書いてある(BOF系の説明では案外デフォ)
  • AFが効かないケースは「¥0」までLoopでコピーするコード
    (過去問どおりでない場合は、C/C++をスラスラ読めないと辛いかも)
  • 問2
  • 概要
    • ポートスキャンで感染するワームの話。
    • 問いは、この発見と対策の方法。
  • 略号
    • NSM (Network Security Monitoring)
    • STIX(Structured Threat Information eXpression)
  • 引掛
    • DHCPなので1つのIPに対して複数の(感染)PCが割り当てられる(ログを最後まで読む)。
    • 対策2つ。(1) ウィルス・スキャンと...( (2) 定義ファルの更新だと)
    • スイッチに接続したPCが感染しないようにするには...。
      パッチと回答したら違って、VLANによる分離だと。
      確かに、ルータ部分は、NSM+IDPでフィルタリングとあるし、 そう言えば問題文にはVLANと言う文字列があったなぁ...と。
  • 問3
    • 概要
    • 知識
    • 略号
    • 引掛
  • 感想
    • 問1 : 知識があるかないか。
    • 問2 : NW知識+引掛が多い印象。
    • 問3 :

午後Ⅱ

平成31年

...

  • 問1
  • 概要
    • マルウェアからC&Cサーバに接続があったというインシデントから始まる。
    • 調査をすすめると、WiFi?の盗聴によりNW接続可能になりアカウント漏れが起きた。
    • それにより攻撃者が、ネットワークに侵入し、PCをマルウェアに感染させた。
  • 原因
  • WiFi?の盗聴は、WPA2のAES-CCMPに対する
    KRACKs中間者攻撃により、暗号化されていないAPを作り出す。
  • アカウント漏れは、単純にHTTPだったため。
  • 対策
  • WiFi?の対策は、WiFi?の認証を
    EAP-PEAPからEAP-TLSへ変更するというもの。
  • アカウント漏れの対策は、HTTP → HTTPS化
  • その他、以下のマルウェア対策
    ・対策1:SPI-FWのHTTPS解除機能の有効化
    ・対策2:ウィルス対策ソフトの導入
  • 知識
  • HDDの複製と保全
    マルウェアの痕跡を調査するための複製
    ・複製はセクタ単位(削除済みファイルも調査可能のため)。
    ・複製元は証拠保全(デジタル・フォレンジック的にも)
  • AES-CCMPのブロック暗号化とCTRモードの方式について、
    ・同一端末間の通信の最初のヘッダは同じになるので暗号解読がやり易い。
    ・ECBでは平文ブロックが同じだと暗号ブロックも同じになる。
    ・ココではECB以外を使用しているが平文ブロックを推測できると、
     暗号化したカウンタ(暗号鍵+初期化ベクタ)自体を推測できる。
  • WiFi?-NW 中のMAC
    ・MACアドレスはヘッダから確認できる。
    ・MACを偽装可能(NICドライバに依ると思うが)
  • TCP ソケットバッファ中継型のプロキシ
    ・コネクションで上り下りのスレッドを用意して、それぞれ、
     受送信バッファを読み取って反対の送受信バッファに書き込む。
    ・このような方式なので、HTTPSも処理可能だが、
     HTTPトンネリングのCONNECTの宛先しか解らない。
  • SPI-FW
    ・一方、こちらはHTTPプロトコルをサーバ側+クライアント側で理解する。
    ・サーバとしてHTTPSを解いて、ペイロードをインスペクション可能、
     そして、その後、クライアントとしてHTTPSリクエストを送信。
    ・電文の中を確認可能だが、以下の証明書の問題が発生し得る。
     ・クライアント証明書が使用できない。
     ・クライアントの証明書ストアと異なり通信できない。
  • 証明書ストア関連
    ・信頼されたルート証明書機関の証明書ストアと証明書
    ・信頼されたルート証明書機関のストアに無い
     機関が発行した証明書を使用するWebサーバとの通信
  • 略号
    • W-AP → WiFi?-Access Point
    • D-PC → Desktop-PC
    • FW → Firewall
    • SW → Switch
    • L2-7 → Layer2-7(OSI)
    • 代替HTTPポート → 8080番ポート
  • 引掛
  • プロキシとFWが逆
    FWがプロキシの前か後か?
    ・FW1とFW2のフィルタ・ルールから見破る。
    ・Intra → FW2 → Proxy → FW1 → Internet
  • TCP ソケットバッファ中継型のプロキシ
    ・L7で理解しなくても、FTP等の任意のプロトコルを中継可能。
    ・CONNECTを悪用しSMTPに接続する等して踏み台にできる。
  • 「見る」→「見て情報を取り出す。」(...)
  • 問2
  • 概要
    • 営業秘密ファイルがインターネットにUPされていたというインシデントから始まる。
    • 調査を進めると、マルウェアXがC&CからマルウェアYをDLしたことが判明する。
  • 原因
    • 関係者ではないK氏がマルウェアX,Yに感染
    • マルウェアYがC&Cから受け取ったアカウントでログイン成功
  • 対策
  • 直近
    ・マルウェア検疫
    ・全社的PCスキャン
    ・ML系アカウントのパスワード変更
  • 事後
    ・アクセス制御の追加、このケースはNWアドレスで制限。
    ・初期パスワードの変更運用は初回ログオン時に、
     必須の運用・仕組みにする(とあるが、どうやって?)。
    ・ウィルス対策ソフトの集中管理機能の導入
     ・ウィルス定義ファイルの配信&状況管理機能
     ・脆弱性修正パッチの配信&状況管理機能
     ・ウィルス検知時、管理者への即時通知機能
  • 知識
  • 踏み台にならないようにするには
    「オープンリレー(第三者中継)」対策を行う。
  • ZIP解凍スキャンは平時は不要である理由
    ・解凍しないと感染しない。
    ・解凍時にリアルタイム・スキャンで検知可能。
  • 時刻を合わせるプロトコルは、NTPだよ。
  • 共通鍵暗号はAES(ホントに流行ってるなぁ...。)
  • 日本の暗号モジュールの試験及び認証制度はJCMVP
  • 電子政府推奨暗号リストを作成している組織はCRYPTREC
  • 略号
    • DPC : Desktop PC
  • 引掛
  • 自社DMZ上のDNSとクラウドサービス上のDNS
    (其々、利用者は誰か?オープンリゾルバ対策)
  • 共通アカウント+IPアドレスでは操作者は解らない。
    (うーんナルホド、なんか、名探偵的な知識か?と思ったり。)
  • 打ち合わせ中だからPCは触れない(キリッ)(名探偵的か?)。
  • アカウントを無効化ではなくパスワード漏れなのでパスワード変更する。
  • 感想
    • 問1 : 捻りがなく知識があれば簡単だが、FW1, 2とプロキシの順番が謎。
    • 問2 : マークシートでないと厳しい系+名探偵系、ファジーな対策系で厳しさアリ。
         噂の「技術的知識が無くても受かるCSIRTオジサン向け」問題なのかも?

平成30年

参考

IT資格の歩き方

  • 週間で仕上げる 情報処理安全確保支援士
  • 3
  • 2

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2020-01-15 (水) 21:27:04 (5d)