情報処理安全確保支援士試験 過去問 2019年(令和元年) 春期 午後Ⅰ 問2

クラウドサービスのセキュリティ

U社は、東京に本社をもつ従業員数1,000名の商社である。複数の海外拠点を設置し、海外向けに営業展開している。海外拠点の従業員数は1拠点当たり十数名ほどである。

本社の情報システムは、本社の情報システム部が管理しており、各海外拠点の情報システムは、現地の情報システム担当者が管理している。電子メール(以下、メールという)の送受信には、本社ではオンプレミス環境を導入しているが、海外拠点では、P社が提供するクラウドサービス型Webメールサービス(以下、メールサービスPという)を利用している。海外拠点では、全ての従業員にスマートフォンとノートPCを貸与している。

セキュリティインシデント発生

1月10日、送信者が海外拠点Qの従業員Sさんのメールアドレスである不審なメールを受け取ったという連絡が、Sさんとやり取りのあった本社の従業員から情報システム部にあった。情報システム部では、情報処理安全確保支援士(登録セキスペ)であるTさんが、調査を担当することになった。Tさんが当該メールのヘッダ情報を確認したところ、メールサービスPから送信されたものであった。

海外拠点Qの情報システム担当者であるYさんによれば、1月10日にSさんのアカウントからの不審なメール送信と考えられる履歴が複数残っているとのことであった。そこで、TさんはYさんにメールサービスPのSさんのアカウントを一時的に無効化するよう依頼した。また、会社から貸与されたSさんのスマートフォン及びノートPC並びにSさんのメールボックスには重要情報がなかったことを確認した。

Tさんが、海外拠点Qの全従業員のアカウントについて、メールサービスPに残っていた全てのメール送信履歴をYさんに確認してもらったところ、Sさんのアカウント以外に不審なメールの送信履歴はないとのことであった。

経緯の調査

Tさんは、メールサービスPに残っていた海外拠点Qの全従業員のアカウントのメール送信履歴及び監査ログ、並びにSさんへのヒアリングの結果をYさんから送付してもらい、調査した。調査結果を図1に示す。

調査結果の図
図1 調査結果

Tさんが調べたところ、メールサービスPはHTTP over TLSでサービスが提供されている。HTTPでアクセスした場合はHTTP over TLSのURLにリダイレクトされる仕様になっており、HSTS(HTTP Strict Transport Security)は実装されていない。

こうしたことから、TさんはSさんが不正アクセスを受けたと確信し、図2に示す手口(以下、手口Gという)を使って、攻撃者がメールサービスPのSさんの利用者IDで不正アクセスしたと推測した。

  • 攻撃者は、①無線LANアクセスポイント、DNSサーバ及びWebサーバを用意した。そのDNSサーバにはaのFQDNとbのIPアドレスとを関連付けるAレコードが設定されていた。
  • SさんはPC-SをホテルWi-Fiに接続しようとして、攻撃者が用意した無線LANアクセスポイントに接続してしまった。
  • その結果、PC-Sに攻撃者が用意したDNSサーバの情報が設定された。
  • Sさんは、WebブラウザからメールサービスPにアクセスしたつもりだったが、実際はWeb ブラウザは②攻撃者が用意したWebサーバに接続していた。Sさんは、サーバ証明書が信頼できない旨のエラーが表示されなかったので、そのWebサーバに対して、利用者ID及びパスワードを入力してしまった。
  • 攻撃者は盗んだSさんの利用者ID及びパスワードを使ってメールサービスPに不正アクセスした。
図2 手口G

Tさんは、今回のセキュリティインシデントの調査結果を情報システム部長に報告した。情報システム部長は、会社から貸与されたノートPCをU社以外の無線LANに接続してはならないというルールの全社への周知及びメールサービスPの認証方式の強化をTさんに指示した。

認証方式の強化

情報システム部長からメールサービスPの認証方式の強化について、次の2点が要求された。

  • 要求1 U社以外の無線LANに接続したとしても手口Gを防ぐこと
  • 要求2 手口Gに限らず、偽サイトにアクセスしてしまったときにフィッシングの手口によるメールサービスPへの不正アクセスを防ぐこと

Tさんが調査したところ、メールサービスPは、単体ではパスワード認証にしか対応していないが、認証連携の機能があることが分かった。認証連携機能を使えば、メールサービスPにアクセスしようとしたときに、他のID管理サービスにリダイレクトされ、そこで認証が行われ、認証に成功すると、メールサービスPにアクセスできるようになる。そこで、X社が提供するクラウドサービス型ID管理サービス(以下、IDaaS-Xという)が対応している、より強力な認証方式を利用することにした。

IDaaS-Xでは、認証サーバXを使って利用者を認証する。

IDaaS-Xが対応している、より強力な認証方式には、次の2種類がある。

  • ワンタイムパスワード(以下、OTPという)認証方式
    TOTP(Time-based One-Time Password algorithm)用のスマートフォンアプリケーションプログラム(以下、TOTPアプリという)を利用した認証方式
  • パスワードレス認証方式
    WebAuthn(Web Authentication API)対応のWebブラウザ及び生体認証対応のオーセンティケータを搭載したデバイスを利用した認証方式

Tさんは二つの認証方式について、要求1及び要求2を満たすことができるかを検討した。

Tさんは、まずOTP認証方式を検討した。IDaaS-XにおけるTOTPアプリ登録処理を図3に、OTP認証方式の認証処理を図4に示す。

IDaaS-XにおけるTOTPアプリ登録処理
図3 IDaaS-XにおけるTOTPアプリ登録処理
IDaaS-XにおけるOTP認証方式の認証処理
図4 IDaaS-XにおけるOTP認証方式の認証処理

OTP認証方式を利用した場合、ログインには時刻によって変化するOTPも必要になるので、パスワードが窃取された場合でも不正ログインを防ぐことが可能となる。

しかし、③OTP認証方式を利用し、かつ、登録処理を正しく行ったとしても、要求2を満たすことができないおそれがある

次にTさんは、パスワードレス認証方式を検討した。IDaaS-Xにおけるオーセンティケータ登録処理を図5に、認証処理を図6に示す。

パスワードレス認証方式の検討

IDaaS-Xにおけるオーセンティケータ登録処理
図5 IDaaS-Xにおけるオーセンティケータ登録処理
IDaaS-Xにおけるパスワードレス認証方式の認証処理
図6 IDaaS-Xにおけるパスワードレス認証方式の認証処理

④パスワードレス認証方式を利用すれば、要求2を満たすことができると考えられた。

Tさんは、検討結果を情報システム部長に報告した。情報システム部長は、海外拠点QにおけるメールサービスPへのパスワードレス認証方式の導入を、Tさん及びYさんに指示した。

海外拠点で従業員に貸与しているスマートフォンとノートPCにはオーセンティケータが搭載されていたので、パスワードレス認証方式を速やかに導入することができた。

U社では、他の海外拠点でのクラウドサービスについても、同様の方式を導入することにした。

出典:平成31年度 春期 情報処理安全確保支援士試験 午後Ⅰ 問2