今回も、先日受験した令和6年度秋期午前Ⅱ試験の問題を解説しなががら、次回試験の対策を行っていきます。
今回解説するのは、問6〜10です。これらの問題で使用されていた用語は、以下の5つです。
- Smurf 攻撃
- FIDO 認証
- シングルサインオン(SSO)
- 量子暗号
- DMARC
是非、最後までご覧いただけると嬉しいです。
Smurf 攻撃
Smruf 攻撃はどれか
ア ICMP エコー要求パケットの送信元 IP アドレスに攻撃対象のIP アドレスを設定し、宛先にブロードキャストアドレスを設定して送信することによって攻撃対象を利用不能にさせる。
イ 送信元 IP アドレスに偽の IP アドレスを設定し、かつ、攻撃対象の受信可能範囲を超える大きなパケットを送信して攻撃対象を停止させる。
ウ 送信元 IP アドレスに偽の IP アドレスを設定して大量のSYNパケットそ送信し、攻撃対象からのSYS-ACKパケットに対してSYS-ACKの応答を送信しないことによって攻撃対象のリソースを枯渇させる。
エ ボットネットを使って多数の端末から攻撃対象のメールサーバに大量のなりすましメールを送信し、攻撃対象のメールサーバを停止させる。
引用:情報処理安全確保支援士試験 令和6年 秋 午前Ⅱ問6
解答
ア
Smurf 攻撃の概要
Smurf 攻撃(Smurf Attack)は、分散型サービス拒否(DDoS)攻撃の一種です。この攻撃は、IPスプーフィング※1とブロードキャストアドレス※2を利用して、標的となるシステムやネットワークに大量のトラフィックを送り込み、正常な通信を妨げることを目的としています。
※1. IPスプーフィングは、攻撃者が偽のIPアドレスを使って送信元を偽装する手法です。これにより、攻撃者は他のシステムやネットワークに対する攻撃を匿名で確実な可能性があります。
※2. ブロードキャストアドレスは、同一ネットワーク内の全てのホストにデータを送信するために使用される特別なIPアドレスです。通常、ホスト部がすべて1のビットで構成され、データがネットワーク内の全デバイスに届くよう設定されています。主にARPリクエストやネットワークアナウンスに利用されます。
Smurf 攻撃の仕組み
- 攻撃者の準備:攻撃者は、パケットの送信元アドレスを標的のIPアドレスに偽装(IPスプーフィング)します。
- ブロードキャストの利用:攻撃者は、ICMP エコーリクエスト(Ping リクエスト)パケットをネットワークのブロードキャストアドレスに送信します。ブロードキャストアドレスに送信されたパケットは、そのネットワーク内の全てのデバイスに送られます。
- 反射:各デバイスは、その ICMP エコーリクエストに対して ICMP エコー応答(Ping 応答)を返します。しかし、送信元アドレスがスプーフィングされているため、応答は攻撃者ではなく、標的のIPアドレスに返されます。
- 負荷の増加:このプロセスにより、標的は大量の ICMP エコー応答を受け取ることになり、システムやネットワークのリソースが過負荷状態に陥り、サービスの利用が困難または不可能になります。
Smurf 攻撃の対策
Smurf 攻撃を防ぐためには、以下のような対策が有効です。
- ネットワーク設定の変更:ブロードキャストアドレスに ICMP リクエストを送信できないようにルータやファイアウォールで設定する。
- 送信元アドレスのフィルタリング:IP スプーフィングを防ぐために、フィルタリングやアンチスプーフィング技術を導入する。
- ネットワーク監視:異常なトラフィックを検出し、迅速に対応するためにネットワーク監視を行う。
Smurf 攻撃のまとめ
Smurf 攻撃は、DDoS 攻撃の一種で、標的のIPアドレスを偽装した大量の ICMP パケットをネットワークに送り込むことで、標的のシステムをダウンさせる攻撃です。攻撃者は、ブロードキャストアドレスを利用し、ネットワーク内の全てのデバイスにパケットを送信することで、標的への応答を大量に発生させます。この結果、標的は過負荷状態になり、正常なサービス提供ができなくなります。Smurf 攻撃を防ぐには、ネットワーク設定の変更や、IPスプーフィングを防ぐための対策などが有効です。
FIDO 認証
あるIdP(Identity Provider)はパスキー(Passkey)認証をサポートしており、利用者Aは、この IdP のFIDO 認証器として、自分のスマートフォンの生体認証機能を登録してある。また、WebサーバBは、このIdP を使ってログインが可能である。利用者AのWeb ブラウザからWeb サーバBにアクセスする際、利用者Aの生体情報を受信するもの、受信しないものの組み合わせのうち、適切なものはどれか。
利用者AのWebブラウザ WebサーバB IdP ア 受信しない 受信しない 受信しない イ 受信しない 受信する 受信する ウ 受信する 受信しない 受信しない エ 受信する 受信する 受信する 引用:情報処理安全確保支援士試験 令和6年 秋 午前Ⅱ問7
解答
ア
FIDO 認証の概要
FIDO 認証は、パスワードに代わる生体認証やUSB キーなどの認証デバイスを用いて、より安全なオンライン認証を実現する仕組みです。従来のパスワード認証のように、情報が漏洩するリスクが低く、フィッシング攻撃にも強いことが特徴です。ユーザーは、指紋や顔認証などの生体情報や、専用のセキュリティキーを用いて、簡単に安全な認証を行うことができます。
FIDO 認証の仕組み
FIDO 認証では、生体情報(指紋や顔データなど)はデバイス上にのみ保存され、外部のサーバや他のデバイスに送信されることはありません。生体情報を使って認証する際には、デバイス内部で生体認証を行い、その結果として公開鍵暗号方式を用いて署名が生成されます。この署名のみが外部に送信され、サーバやIdP(Identity Provider)側では生体情報そのものを受信することはありません。
問題の流れ
- 利用者Aは、自分のスマートフォンの生体認証機能を使って IdP に登録し、FIDO 認証を利用しています。
- Web サーバBは、この IdP を使ってログインが可能です。
- Web ブラウザを使ってWeb サーバBにアクセスする際、Aはスマートフォンの生体認証機能を使って認証を行います。
このプロセスで重要なのは、どのシステムが生体情報を「受信するか」という点です。
- 生体情報を受信するもの:生体情報(指紋や顔認証データ)はスマートフォン内に留まるため、外部のWebサーバBやIdP、Webブラウザは生体情報を受信しません。
- 署名データのみを送信:認証の結果として生成される署名データが、スマートフォンからWebサーバBやIdPに送信され、これに基づいて認証が行われます。
解答の検討
各選択肢について考察します。
- ア:利用者のWebブラウザは受信しない、WebサーバBは受信しない、IdPは受信しない
- 正しいです。生体情報はどのシステムにも送信されないため、受信しないのが正しい。
- イ:利用者のWebブラウザは受信しない、WebサーバBは受信する、IdPは受信する
- 誤りです。WebサーバBやIdPは生体情報を受信しません。受信するのは署名データのみです。
- ウ:利用者のWebブラウザは受信する、WebサーバBは受信しない、IdPは受信しない
- 誤りです。Webブラウザも生体情報を受信しません。スマートフォンが内部で処理を行い、署名データのみが送信されます。
- エ:利用者のWebブラウザは受信する、WebサーバBは受信する、IdPは受信する
- 誤りです。Webブラウザ、WebサーバB、IdPのいずれも生体情報を受信しません。
シングルサインオン(SSO)
シングルサインオン(SSO)に関する記述のうち、適切なものはどれか。
ア SAML 方式では、URL 形式の1人一つの利用者 ID をIdP(Identity Provider)で自動生成することによって、インターネット上の複数のWebサイトにおける SSO を実現する。
イ エージェント方式では、クライアント PC に導入してエージェントが SSO の対象システムのログイン画面を監視し、ログイン画面が表示されたら認証情報を代行入力する。
ウ 代理認証方式では、SSO の対象サーバに SSO のモジュールを組み込む必要があり、システムの改修が必要となる。
エ リバースプロキシ方式では、SSO を利用する全てのトラフィックがリバースプロキシサーバに集中する。
引用:情報処理安全確保支援士試験 令和6年 秋 午前Ⅱ問8
解答
エ
シングルサインオン(SSO)の概要
シングルサインオン(Single Sign-On, SSO)は、一度の認証で複数のアプリケーションやシステムにアクセスできる仕組みです。SSO を利用することで、ユーザーは一度認証情報(IDとパスワードなど)を入力するだけで、他のシステムにログインする際に再度認証する必要がなくなります。
SSO は、企業や組織で使われるアプリケーションやサービスが増えるにつれて、セキュリティの強化や利便性の向上を図るために広く採用されています。これにより、ユーザーは複数のパスワードを覚える負担を軽減し、管理者は一元的に認証を管理できるという利点があります。
シングルサインオン(SSO)の仕組み
SSO の基本的な流れは以下の通りです。
- 認証要求:ユーザーがアプリケーションAにアクセスすると、認証要求が発生します。
- 認証プロバイダ(IdP)へのリダイレクト:アプリケーションAは、ユーザーを認証プロバイダ(Identity Provider、IdP)にリダイレクトします。IdP はユーザーの認証情報を管理しているサービスです。
- 認証:ユーザーが IdP に認証情報を入力し、認証されると、IdPは認証トークンを生成します。このトークンは、ユーザーが認証されたことを示すデータで、暗号化されています。
- トークンの転送:認証されたトークンは、再びアプリケーションAに転送されます。アプリケーションAはこのトークンを確認し、ユーザーが認証済みであることを確認します。
- SSOの有効化:その後、ユーザーがアプリケーションBにアクセスする場合、再度認証を行う必要はなく、既に発行されたトークンを使用して自動的に認証され、アプリケーションBにアクセスできるようになります。
この仕組みを使うことで、ユーザーは複数のサービスにアクセスする際に、毎回認証情報を入力する手間を省くことができます。
シングルサインオン(SSO)とリバースプロキシの関係
リバースプロキシは、サーバの前に配置され、クライアントからのリクエストを受け取り、そのリクエストを内部のサーバに転送する役割を果たすものです。リバースプロキシは、SSO を実装する際にも重要な役割を果たします。
SSOとリバースプロキシの関係は、主に以下のような形で現れます。
- 認証の集中管理:リバースプロキシを通じて、複数のアプリケーションやサービスの前に1つの認証ポイントを設けることができます。これにより、ユーザーは一度認証を行うだけで、リバースプロキシが後続のリクエストを適切なアプリケーションに転送し、認証済みとして扱われます。
- 認証トークンの検証と転送:リバースプロキシは、SSO のトークンや認証情報を受け取り、各アプリケーションに適切に渡す役割を果たすことができます。この仕組みにより、ユーザーが直接アプリケーションにアクセスする代わりに、リバースプロキシがトークンを管理し、セキュアな接続を維持します。
- セキュリティの強化:リバースプロキシは、認証情報や認証トークンの処理を行うだけでなく、リクエストをフィルタリングし、不正なアクセスをブロックする役割も果たします。これにより、SSO 環境下でのセキュリティを強化することができます。
シングルサインオン(SSO)のまとめ
シングルサインオン(SSO)は、一度の認証で複数のシステムにアクセスできる仕組みです。認証プロバイダがトークンを発行し、他のシステムへのアクセスを許可します。リバースプロキシは、認証の集中管理やトークンの転送を行い、SSOを支援します。これにより、ユーザーは利便性が向上し、企業は認証管理の効率化とセキュリティ強化を実現できます。
量子暗号
量子暗号の特徴として、適切なものはどれか。
ア 暗号化と復号の処理を、量子コンピュータを用いて行うことができるので、従来のコンピュータでの処理に比べて大量のデータの秘匿を短時間で実現できる。
イ 共通鍵暗号方式であり、従来の情報の取扱量の最小単位であるビットの代わりに量子ビットを用いることによって、高速なデータ送受信が実現できる。
ウ 量子雑音を用いて共通鍵を生成し、公開鍵暗号方式で共有することによって、解読が困難な秘匿通信が実現できる。
エ 量子通信路を用いて安全に共有して乱数列を使い捨ての暗号鍵として用いることによって、原理的に第三者に解読されない秘匿通信が実現できる。
引用:情報処理安全確保支援士試験 令和6年 秋 午前Ⅱ問9
解答
エ
量子暗号の概要
量子暗号(Quantum Cryptography)は、量子力学の原理を利用して、安全な情報伝達を実現する暗号技術です。従来の暗号技術は数学的な難解さを基盤にしていますが、量子暗号は物理的な原理に基づいており、量子力学の不確定性原理や量子もつれを活用しています。この技術により、第三者による盗聴を理論的に検知できるという画期的な特長を持っています。
量子暗号の仕組み
量子暗号の主なプロトコルとしては、量子鍵配送(Quantum Key Distribution, QKD)があり、特に有名なのが「BB84プロトコル」です。このプロトコルでは、送信者(Alice)は光子を量子状態で送り、受信者(Bob)はそれを受け取ります。ここで量子力学の原理が働き、通信経路上で第三者(Eve)が盗聴を試みると、光子の状態が変わるため、盗聴が検知できる仕組みです。これにより、盗聴を検知した場合は鍵交換を中止し、セキュリティを確保します。
量子暗号の利点
- 盗聴の検知:量子暗号では、鍵配送の際に盗聴があったかどうかを確実に検知できるため、従来の暗号通信に比べて圧倒的に安全です。
- 量子コンピュータ耐性:現在の暗号技術は、量子コンピュータの発展により解読されるリスクがありますが、量子暗号は量子コンピュータにも耐性があります。
- 安全性の物理的保証:量子暗号は、物理法則に基づいているため、理論的には絶対的な安全性を持っています。
量子暗号のまとめ
量子暗号は、量子力学の原理を利用し、盗聴を検知できる画期的な暗号技術です。量子鍵配送と呼ばれる方法では、光子の状態を利用して鍵を安全に交換します。第三者が盗聴を試みると、光子の状態が変化するため、盗聴を検知できます。量子暗号は、量子コンピュータの発展にも耐えうる高い安全性を持つため、次世代の暗号技術として期待されています。
DMARC
電子メールの受信者側のメールサーバでの送信ドメイン認証が失敗したときの処理方針を、送信側のドメイン管理者が指定するための仕組みはどれか。
ア DKIM
イ DMARC
ウ SMTP-AUTH
エ SPF
引用:情報処理安全確保支援士試験 令和6年 秋 午前Ⅱ問10
解答
イ
DMARC(Domain-based Message Authentication, Reporting & Conformance)
DMARC(Domain-based Message Authentication, Reporting & Conformance)は、メールの送信元ドメインのなりすましを防ぐためのメール認証プロトコルです。DMARC は、SPF と DKIM による認証結果を基に、受信者のメールサーバに対してどのように扱うか(受信、隔離、拒否)を指示します。また、メールの認証結果に関するレポートを送信者に提供し、ドメインの不正利用やメールのなりすましを監視し改善することが可能です。
DKIM(DomainKeys Identified Mail)
DKIM(DomainKeys Identified Mail)は、送信メールが改ざんされていないことを保証するための認証技術です。送信者のドメインがデジタル署名を付与し、受信者側のメールサーバがその署名を確認することで、メールの正当性を検証します。これにより、なりすましやフィッシング攻撃の防止に役立ちます。DKIM は、送信者のドメインの信頼性を向上させ、メールの信頼性を強化します。
SMTP-AUTH(Simple Mail Transfer Protocol Authentication)
SMTP-AUTH は、メールの送信時にメール送信者の認証を行うプロトコルです。SMTP-AUTH を利用することで、送信者が正当なユーザーであることを確認でき、不正なメール送信(スパムやなりすましメール)を防ぐことができます。認証されたユーザーのみが送信メールサーバを利用できるため、スパムの送信を防ぎ、セキュリティを強化します。
SPF(Sender Policy Framework)
SPF(Sender Policy Framework)は、送信元ドメインを偽装したなりすましメールを防ぐためのメール認証技術です。ドメイン所有者が DNS に SPF レコードを設定し、どの IP アドレスがそのドメインからのメール送信を許可されているかをリスト化します。受信側のメールサーバは、SPF レコードを参照して送信者のIPアドレスが正しいか確認し、なりすましメールの防止に役立てます。
送信メールサーバの認証技術のまとめ
送信メールサーバでは、メールの信頼性を高め、なりすましやフィッシング攻撃を防ぐために、様々な認証技術が利用されています。
- DKIM:メールにデジタル署名を付与し、改ざんを検知することで、メールの信頼性を高めます。
- DMARC:SPF と DKIM の結果に基づき、受信側のメールサーバにメールの処理方法を指示し、ドメインの不正利用を監視します。
- SMTP-AUTH:メール送信時の認証を行い、不正なメール送信を防ぎます。
- SPF:送信元のIPアドレスを検証し、なりすましメールを防止します。
これらの技術を組み合わせることで、より強固なメール認証システムを構築し、受信者に安全なメール配信を実現できます。
まとめ
今回は、下記について説明しました。
- Smurf 攻撃
- FIDO 認証
- シングルサインオン(SSO)
- 量子暗号
- DMARC
今回は、令和6年度秋期午前Ⅱ試験問題の問6から問10で出題された用語について説明しました。次回は、問11から問15について説明します。
これからも、Macのシステムエンジニアとして、日々、習得した知識や経験を発信していきますので、是非、ブックマーク登録してくれると嬉しいです!
それでは、次回のブログで!