KEEP LEARNING

情報処理の学習

【インシデント対応】アプリケーションの脆弱性

f:id:food_blog:20200526090153p:plain

本記事ではセキスペ 過去問(H.30/秋 午後I 問3)を例題として解説する中でアプリケーション脆弱性の理解を深めます。

※IPA公式サイトから実際の問題を使用しております。 

 

1.前提知識

  • ネットワーク基礎知識
  •  DMZの基礎知識
  • WAF

 

2.知識のインプット

 

CVSS

共通脆弱性評価システムと呼ばれ、ソフトウェアやシステムに発見されたシステム上の脆弱性の深刻度を評価する手法の一つです。

 

主に情報セキュリティの要素、機密性、完全性、可用性に対する影響度合いを見積もり0.0から10.0までの指標で表します。

評価者に影響されず共通の尺度で深刻度を表すことができます。

 

コールドスタンバイ

本番サーバの予備機。ただし、サーバの電源はつけられていない状態で存在しており、本番サーバに障害が発生した時に電源を入れ、本番環境の代替として利用できる状態のことを意味します。

 

ホットスタンバイ

コールドスタンバイが電源をつけない状態であるのに対し、ホットスタンバイは電源をつけた状態で代替を用意しておき、いつでも切り替えが可能である状態を意味します。

 

WAF

WAFとはウェブアプリケーションファイアウォールの略でファイアウォールでは攻撃を防御することのできないアプリケーション側の防御壁を意味します。

 

アプリケーション側への攻撃として有名なのがSQLインジェクションやクロスサイトスクリプティング、OSコマンドインジェクション等がありますがこれらは、アプリケーションのソースコードの脆弱性を狙った攻撃となっています。

 

セキュアプログラミングの考え方が広まってはいるものの、人の手で作成されるアプリケーションのセキュリティ対応には限界があるとの考えが一般的であり、WAFを導入する企業は増加傾向にあります。

3.背景

 

webサービスにおいて、OSやミドルウェアの脆弱性を突いた攻撃が頻発しており、情報漏洩など、甚大な被害を受ける例が後を絶たない。

それに対して、セキュリティ担当者は、業務継続を意識した対策を見いだすことが求められている。

アプリケーションフレームワークについてのインシデント対応とWAFの導入を題材に脆弱性を悪用する攻撃に対する対応と、与えられた条件下でセキュリティの課題を特定して改善する能力を問う。

 

4.過去問の要約

 

f:id:food_blog:20200525234754p:plain

ログ管理サーバに保存されたログからイベントの発生順序を正しく追跡できるように、ログに書かれている各FW及びサーバの時刻を整合させている

 

プロキシサーバが中継するのはPCセグメントからインターネットへの通信のみである。

 

B社システムにおいて下記の脆弱性が発見された。

・悪用されるとリモートから任意のOSコマンドを実行される恐れがある。具体的には、リモートからHTTPリクエストのContent-Typeヘッダーのフィールドに攻撃コードが挿入されることによって任意のOSコマンドを実行される。

 

・既に攻撃コードやリモート操作用のツールが流通しており、CVSS による深刻度が高い。

 

B社は重大ないインシデントの可能性もあると考え、専門家による調査を緊急に行うことを経営陣に提案した。経営陣の承認を得て、被害拡大を防止するために必要な措置を指示するとともに、セキュリティ専門家にインシデントの調査を依頼した。

 

f:id:food_blog:20200525235844p:plain

重大な被害は認められなかったものの、ぜいじゃくせいTが悪用され改ざんが行われていることが明らかになった。

 

通信システムではバッチの適用作業に7日掛掛かっていたが、WAFによる対応の方をすることで対応工数を短縮できた。しかし、WAFの対応では通信システムへの影響があるのではないか。

 

影響はあるので、導入時にはアラートを通知するモニタリングにて検証をする。アラートが通知された際に検知した通信が攻撃 であるかどうかを直ちに確認する必要がある。

 

もし、攻撃 であった場合は、場合によってはシステムの停止が必要となる。

 

WAFには大きく分けるとソフトウェア型、ハードウェア型、クラウド型の3種類がある。さらには、暗号通信に関する機能が用意されているものもある。

 

クラウド型WAFを導入する場合は図1中の外部DNSサーバの設定を変更して、Eサーバへのアクセス経路をクラウド型WAF経由に変える必要があるクラウド型WAFのIPアドレスが変更された場合でも外部DNSサーバの設定に影響が出ないようにCNAMEレコードを定義する必要がある。

 

5.解説

 

ログに書かれている各FW及びサーバの時刻を整合させている 

 

基本的にはFW機器にも時刻を測る機能があるが、徐々に時間がずれていったりします。各サーバの時刻を整合させるためにはNTP(Network Time Protocol)によって各機器の時刻同期を行う必要があります。

 

 

被害拡大を防止するために必要な措置  

 

Eサーバの予備機として待機サーバがコールドスタンバイ状態で用意されているので、一時的にEサーバをネットワークから切り離し、待機サーバを公開することで被害の拡大防止に繋がります。

 

 

暗号通信に関する機能 

 

ハードウェア型のWAFをEサーバの手前に設置する場合、ハードウェア型WAFを通過するパケットは暗号化されたままであるため、パケットの中身については検査することができません。したがって、HTTPS通信を複合する機能が必要となってきます。