テクニカルエンジニア(情報セキュリティ)平成20年度試験問題(午後1問2)
問2 ネットワークセキュリティに関する次の記述を読んで,設問1〜3に答えよ。
B社は,従業員数200名の日用雑貨販売会社である。B社では,10年前の創業時から,無料カタログ冊子を配布し,電話受付によって日用雑貨の通信販売を行ってきた。また,4年前には,インターネットを利用した注文受付を開始した。現在では注文の約7割がインターネットからとなっており,売上も毎年順調に伸びてきている。
インターネットを利用した注文受付システム(以下,Xシステムという)は,Webを使用したシステムで,システム開発会社のS社が構築した。Xシステムのネットワーク構成は,図のとおりである。
〔セキュリティインシデントの発生〕
ある朝,B社のシステム部門のF主任が出社すると,電話受付部門のK主任から,前夜の電話受付について次のとおり報告があった。
| ・ | 前夜の電話受付数は,通常の約1.5倍であった。 |
| ・ | Xシステムが利用できない,という苦情が数件あった。 |
この報告を受けてF主任は,Xシステムの動作確認を行ったが,異常は発見できなかった。インターネット回線の障害について,通信事業者に確認したが,障害は発生していないとのことであった。気になったF主任は,上司であるG課長に相談することにした。次は,F主任とG課長の会話である。
| F主任 | :昨夜,Xシステムが利用できないという苦情があったので,先ほど動作確認を行ったのですが,現時点では特に異常は見られません。利用者側の問題の可能性もありますが,苦情が複数届いていることから,Xシステムに何らかの障害が発生した可能性が高いと思います。 |
| G課長 | :そのようだな。WebサーバのアクセスログやFWのログなどを詳細に調べる必要がある。苦情のあった時間帯をK主任に確認した上で,その前後の時間帯を含めてログを調べてみてくれ。 |
| F主任 | :はい,分かりました。 |
F主任はWebサーバのアクセスログとFWのログ,それぞれの資源(CPU,メモリ)及びパケット量の監視ログを調査したところ,WebサーバとFWの資源使用率が約2時間にわたって高くなっていること,及びこの間のWebサーバへのパケット量が増えていることが分かった。
| F主任 | :この時間帯のWebサーバのアクセスログを見ましたが,アクセス数は特に増えていないようです。 |
| G課長 | :ということは,WebサーバへのHTTP接続以外のパケットということになるな。もしかすると,不正アクセスが行われている可能性がある。すぐにS社に調査してもらおう。 |
早速,S社でセキュリティに詳しいJ氏に連絡を取り,解析を依頼した。その結果,SYN Flood攻撃を受けていたことが判明した。
〔ネットワークセキュリティ対策の検討と実施〕
次は,SYN Flood攻撃について,J氏がG課長とF主任に説明を行ったときの会話である。
| J氏 |
:SYN Flood攻撃は,TCPの接続開始処理をねらった攻撃です。一般に,TCPの接続開始処理は,[ a ]ハンドシェイクと呼ばれる手順を経ることで行われます。ホストAからホストBへの接続開始処理を例に挙げると,まず,ホストAから,[ b ]パケットがホストBに送られます。次に,[ b ]パケットを受け取ったホストBから[ c ]パケットが返されます。最後に,ホストAから[ d ]パケットが送られることによって,接続開始処理が完了します。SYN Flood攻撃は,何らかの方法で,最後の[ d ]パケットがホストBに届かないようにすることで,ホストBに未完了の接続開始処理(以下,ハーフオープンという)を大量に発生させる攻撃です。この結果,〔1〕正当な利用者がホストBに接続できなくなったり,接続に時間がかかるようになったりします。 なお,多くの場合,[ d ]パケットがホストBに届かないようにするために,[ b ]パケットの[ e ]IPアドレスを詐称する方法が使われています。 |
| G課長 | :なるほど,それで〔2〕パケット量が増えても,Webサーバのアクセスログに記録されているアクセス数が増えないわけですね。 |
| J氏 | :そうです。 |
| F主任 | :それで,この攻撃への対策は,どのようにしたらよいのでしょうか。 |
| J氏 | :正当なTCPの接続開始処理かどうかを判断し,不正な接続開始処理であれば破棄するという方法が考えられます。しかし,正当な接続開始処理と判断するためには,[ d ]パケットを受け取るまで待たなければならず,[ d ]パケットを受け取った時点で判断することは困難です。また,ハーフオープン状態になっている接続開始処理と同じ[ e ]IPアドレスからの接続要求を拒否するという方法も考えられますが,〔3〕効果が得られないことが多いのです。そのため,最近のFWは,ハーフオープン状態の接続がある数に達すると,それ以上の接続開始処理はいったんFWで保留することで,あて先のサーバに接続要求が到達しないようにできます。これによって,SYN Flood攻撃の対象サーバに対して,不正な接続開始処理を抑制することができます。 |
| F主任 | :Xシステムで使用しているFWでも,その対策は可能ですか。 |
| J氏 | :はい,ソフトウェアを最新版に更新することで可能です。 |
| G課長 | :それでは,早速,その手配をお願いします。 |
| F主任 | :分かりました。まずは,作業計画を立案した上で,できるだけ早く対応します。ただ,今回の攻撃で,FWの資源使用率が,通常に比べてかなり高くなっていましたので,今回のような攻撃を受けると,FW自体のパフォーマンスを維持できなくなる可能性があります。上位機種に交換した方がよいと思います。 |
| G課長 | :なるほど。今のFWは正常時のアクセス予想数から選定された機種だから,不正アクセスを想定するとパフォーマンスに問題が発生する可能性が高くなるのですね。さらに,インターネットを利用した注文が伸びてきていることを考慮すると,上位機種への交換も必要ですね。ソフトウェアの更新はすぐに実行することにして,上位機種の手配もお願いします。それから,しばらくの間,SYN Flood攻撃の有無や,FWとWebサーバの資源使用率について監視をお願いします。 |
| J氏 | :承知しました。 |
FWのソフトウェアの最新版への更新は翌日のメンテナンス時間帯に,上位機種への交換は3日後のメンテナンス時間帯に行われ 当面のSYN Flood攻撃対策は完了した。
〔ネットワークセキュリティ対策の強化〕
2週間後,J氏は,監視結果の報告のために,B社を再度訪問した。
| J氏 | :ここ2週間ほど監視した結果,SYN Flood攻撃を何回か受けてはいますが,そのときでも,Webサーバの資源使用率は,最初にSYN Flood攻撃を受けたときと比べるとかなり改善されています。FWの資源使用率についても,上位機種への交換後,問題ない範囲になりました。また,インターネット回線の使用率も問題ありませんでした。 |
| G課長 | :それはよかった。ところで,今後,更に強力なSYN Flood攻撃を受けた場合に備えて,今の機器構成でできる対策はないでしょうか。 |
| J氏 | :そうですね,攻撃を受けた場合には,インターネットに接続されているルータで[ b ]パケットの帯域制限を行う対策と,〔4〕Webサーバで行う対策を併用するのがよいと思います。 |
| G課長 | :なるほど。F主任,J氏とともに早急に対策手順を作成してくれ。 |
| F主任 | :はい,分かりました。 |
F主任は,J氏とともに対策手順を作成し,XシステムのSYN Flood攻撃対策の強化を図った。
設問1 本文中の[ a ]〜[ e ]に入れる適切な字句を,それぞれ8字以内で答えよ。
設問1の正解と解説へ
設問2 SYN Flood攻撃とその対策について,(1)〜(3)に答えよ。
| (1) | 本文中の下線〔1〕について,正当な接続要求に応答できなくなったり,接続に時間がかかるようになったりする理由を,“資源”という字句を用いて35字以内で述べよ。 |
| (2) | 本文中の下線〔2〕について,その理由を50字以内で述べよ。 |
| (3) | 本文中の下線〔3〕について,その理由を35字以内で述べよ。 |
設問2の正解と解説へ
設問3 SYN Flood攻撃対策の強化について,本文中の下線〔4〕に示す対策の内容を,“タイムアウト”という字句を用いて40字以内で述べよ。
設問3の正解と解説へ
メニューへ戻る