AP過去問 令和7年度春期 午後 問1 情報セキュリティ
AP 過去問題 午後に戻る。
AP過去問_令和7年度春期_午後_問2_経営戦略の同じ回の次の問題へ移動。
AP過去問_令和6年度秋期_午後_問1_情報セキュリティの前の回の同じカテゴリの問題へ移動。
令和6年度秋期 午後 問1 情報セキュリティ(AIプロンプト向け)
各種AIに以下文章をペロッとはるだけで10秒くらいで答えてしまいます。瞬殺です。おじさんたちは30分くらい悩んで、この問題と向き合って、それでいて間違うこともあるというのに。さすがですね。AI。この問題は間違えないみたい。勉強になるからペロッてやってみてほしい。AIとしては、同じ質問するやつ、やけに多いなってなるのかな。
■サイバー攻撃への対策に関する次の記述を読んで、設問に答えよ。
C 社は首都圏に複数の販売店をもつ、中堅の中古車販売会社である。
C 社はS 県に複数の中古車販売店舗を展開するP 社と業務提携しており、P 社の中古車情報もC 社の販売管理システムに登録した上で販売を行っている。
〔C 社販売管理システムの概要〕
販売管理システムは、 Web サーバ、アプリケーション(以下、APという)サーバ及びデータベース(以下、DBという)サーバ成り、C社及びP社の販売店は、Webサーバを経由して中古車情報販売の登録を行う。C社の販売店の情報は、C社のPC(以下、PC-Cという)、 APサーバの販売店情報登録ツール(以下、販売店ツールという)を利用して登録を行う。また、販売管理システムのWeb サーバ、APサーバ及びDBサーバ(以下、C社各サーバという)のメンテンスは、C社の社内システム担当が、社内システムのPC(以下、PC-Sという)から管理者権限のあるID(以下、特権IDという)でC社各サーバにログインして実施している。
P社の販売店の情報は、 P社従業員が、社内に設置したP社販売店情報登録用のPC(以下、PC-Pという)から、C社内に設置したP社販売店情報登録用のPC(以下、PC-Rという)にリモートデスクトップでログインし、販売店ツールを利用して登録を行う。P社は、P社従業員の自宅PC(以下、自宅PCという)からSSL-VPNを利用して、PC-Pにリモートデスクトップでログインできる環境を構築している。
C社及びP 社のネットワーク構成(抜粋)を図1に示す。
ここから図1 C社及びP 社のネットワーク構成(抜粋)
FWはファイアウォールのこと。
C社内のWEBサーバ(DMZセグメント)はC社内のFW1につながっている。
C社内のNAS(バックアップセグメント)はC社内のFW1につながっている。
C社内のFW1はC社内のFW2とつながっている。
C社内APサーバ(業務セグメント)はC社内のFW1とC社内のFW2につながっている。
C社内DBサーバ(業務セグメント)はC社内のFW1とC社内のFW2につながっている。
C社内PC-C(業務セグメント)はC社内のFW1とC社内のFW2につながっている。
C社内PC-S(業務セグメント)はC社内のFW1とC社内のFW2につながっている。
C社内PC-R(業務セグメント)はC社内のFW1とC社内のFW2につながっている。
C社内のFW2は広域イーサネットを通じて、P社内のFW3につながっている。
C社内のFW1はインターネットとつながっている。
C社販売店の販売店PCはインターネットとつながっている。
P社販売店の販売店PCはインターネットにつながっている。
P社従業員自宅の自宅PCはインターネットにつながっている。
P社内VPNルーターはインターネットとP社内のFW3につながっている。
P社内PC-P(業務セグメント)はP社内のVPNルータとP社内のFW3につながっている。
P社内FW3は広域イーサネットを通じてC社内のFW2とつながっている。
P社内FW3はP社内VPNルータとつながっている。
ここまで図1 C社及びP 社のネットワーク構成(抜粋)
C社FW1、FW2及びP社剛3の許可ルール(抜粋)を表1に示す。
<div><div class="table-container"><div class="table-header"><span class="table-title">表1 C社FW1、FW2及びP社剛3の許可ルール(抜粋)</span><span class="table-unit"></span></div> <table border="0" style="border-collapse: collapse;border-style: solid"> <tr> <td align="center" style="border: 2px solid; width: 5em;">機器</td> <td align="center" style="border: 2px solid; width: 5em;">送信元</td> <td align="center" style="border: 2px solid; width: 5em;">送信先</td> <td align="center" style="border: 2px solid; width: 5em;">プロトコル/ポート番号</td> </tr> <tr> <td align="center" style="border: 2px solid;">FW1</td> <td align="center" style="border: 2px solid;">インターネット</td> <td align="center" style="border: 2px solid;">DMZセグメント</td> <td align="center" style="border: 2px solid;">TCP/443(HTTPS)</td> </tr> <tr> <td align="center" style="border: 2px solid;">FW1</td> <td align="center" style="border: 2px solid;">Webサーバ</td> <td align="center" style="border: 2px solid;">APサーバ</td> <td align="center" style="border: 2px solid;">TCP/80(HTTP)</td> </tr> <tr> <td align="center" style="border: 2px solid;">FW1</td> <td align="center" style="border: 2px solid;">Webサーバ</td> <td align="center" style="border: 2px solid;">バックアップセグメント</td> <td align="center" style="border: 2px solid;">TCP/22(SSH)</td> </tr> <tr> <td align="center" style="border: 2px solid;">FW1</td> <td align="center" style="border: 2px solid;">APサーバ、DBサーバ</td> <td align="center" style="border: 2px solid;">バックアップセグメント</td> <td align="center" style="border: 2px solid;">TCP/22(SSH)</td> </tr> <tr> <td align="center" style="border: 2px solid;">FW2</td> <td align="center" style="border: 2px solid;">P社の業務セグメント</td> <td align="center" style="border: 2px solid;">C社の業務セグメント</td> <td align="center" style="border: 2px solid;">TCP/3389(RDP)</td> </tr> <tr> <td align="center" style="border: 2px solid;">FW3</td> <td align="center" style="border: 2px solid;">P社の業務セグメント</td> <td align="center" style="border: 2px solid;">C社の業務セグメント</td> <td align="center" style="border: 2px solid;">TCP/3389(RDP)</td> </tr> </table> </div> </div> <div>注記 FW1、FW2及びFW3は、応答パケットを自動的に通過させる、ステートフルパケットインスペクション機能をもつ。</div>
C社各サーバにはマルウェア対策ソフトウェアがインストールされている。C社各サーバのデータは、毎日午前0時30分~午前1時30分の間にバックアップを行う。月曜日にデータのフルバックアップを行い、火曜日から日曜日まではデータの差分バックアップを行っている。NASには月曜日を起点として最大7日分のバックアップを1世代分保存しており、次の世代のデータは前の世代のデータに上書き保存される。また、C社各サーバのシステムバックアップもNASに保存している。
C社及びP社の各PC、各サーバ及びネットワーク機器のログは各機器内に保存しており、ログのサイズが最大に達した場合は、最も古い記録から上書きする設定になっている。
C社の各PC及び各サーバはログインのロックアウトのしきい値を5回に設定している。
〔セキュリティインシデントの発生〕
ある月曜日の午前9時頃、C 社のシステムに、C 社からシステム部門に、C社販売店から販売管理システムが利用できないとの報告があった。システム部門のR主任がシステムを調査したところ、C社各サーバのデータが暗号化されていることが判明した。
R主任は外部のセキュリティ会社であるU社に連絡してインシデントの調査を依頼した。U社のX氏から❝<u>①電磁的記録の証拠保全、調査及び分析</u>を行うので、C社内のインターネットと広域イーサネットに接続しているネットワークを遮断した後、全てのPCの使用を停止してください❞との要請があり、R主任は要請に従った。
〔セキュリティインシデントの調査〕
X氏から❝PC、サーバ及びネットワーク機器のログを分析した結果、侵入者は次の(1)~(4)の順序で攻撃したことが判明した❞と報告があった。
(1)インシデントの報告日の午前3時15分に、PC-PからPC-Rに口グインした。
(2)PC-Rと同じパスワードの口グインIDがPC-Sに存在していた。PC-Rの口グインに利用したパスワードで、PC-Sにリバースブルートフォース攻撃を行い、PC-Sにログインした。
(3)❝社内システム担当がサーバにログインする際に利用したIDとパスワードを、PC-Sのメモリ上に保存してしまう❞というPC-SのAP ソフトウェアの脆弱性を利用して、C社各サーバに口グインした。
(4)C社各サーバのマルウェア対策ソフトウェアのプロセスを強制終了して、ランサムウェアを実行した。
X氏は❝侵入経路であるP 社の機器もC 社と同様に電磁的記録の証拠保全、調査及び分析を行う必要があるので、P社へ連絡するように❞とR主任に要請した。
X氏がPC-P及びP社のネットワーク機器を調査したところ、次の状況が判明した。
- VPNルータには認証に関する脆弱性があった。
- 攻撃に利用したPC-PのIDとパスワードはPC-Rと同ーであった。
- PC-PのIDは❝admin❞、パスワードは❝password123456❞であった。
- PC-Pへは❝administrator❞のIDに対して異なるパスワードで約1万回ログインに失敗した後、❝admin❞のIDに対して異なるパスワードで150回ログインに失敗し、151回目でログインに成功していた。
X氏は❝侵入者はVPNルータの脆弱性を利用して、認証情報を取得した上でVPN接続を行い、PC-Pへ[ a ]攻撃を行い侵入した後、[ b ]でPC-Rへログインした可能性が高い。PC-Pのログインに関する設定がPC-Rと異なっていたので、[ a ]攻撃を防げずに侵入されたと推測される。❞とR主任へ報告した。
〔暫定対応及びシステムの復旧〕
侵入経路と原因が判明したので、R主任及びP社は次の暫定対応を実施し、C社各サーバのシステム及びデータをバックアップデータから復旧の上、販売管理システムの利用を再開した。
- VPN ルータとPC-SのAPソフトウェアに、脆弱性に対応した修正プログラムを適用した。
- PC及びサーバのIDとパスワードを推測が困難で複雑なものへ変更した。
- <u>②今回と同様の攻撃を防御するために、PC-Pの設定を変更した。ただし、パスワードが漏えいし、リバースブルートフォース攻撃を受けた場合は、このPC-Pの設定変更では防御できないおそれがある</u>ので、PC-Rへのリモートデスクトップでの
ログインは、P社からの利用申請を受けてC 社が許可したときだけ可とするルールを設けることにした。
〔U社からC社への報告〕
U社はC社へ、C社の課題をまとめて報告した。C社の課題(抜粋)を表2に示す。
<div><div class="table-container"><div class="table-header"><span class="table-title">表2 C社の課題(抜粋)</span><span class="table-unit"></span></div> <table border="0" style="border-collapse: collapse;border-style: solid"> <tr> <td align="center" style="border: 2px solid; width: 5em;">項番</td> <td align="center" style="border: 2px solid; width: 5em;">課題</td> </tr> <tr> <td align="center" style="border: 2px solid;">1</td> <td align="center" style="border: 2px solid;">C社に接続するP社のPC及びネットワークについて、機器管理や脆弱性管理ができていない。</td> </tr> <tr> <td align="center" style="border: 2px solid;">2</td> <td align="center" style="border: 2px solid;">侵入者が特権IDで口グインし、今回のようにC社各サーバで操作を行った場合、マルウェアの検知ができなくなる。</td> </tr> <tr> <td align="center" style="border: 2px solid;">3</td> <td align="center" style="border: 2px solid;">インシデントの報告日の前日にランサムウェアに感染して暗号化されていた場合、<u>③バックアップデータからの復旧に問題が生じたおそれがある</u>。また、NASに侵入れてバックアップデータが暗号化されるリスクもある。</td> </tr> <tr> <td align="center" style="border: 2px solid;">4</td> <td align="center" style="border: 2px solid;">ー定期間に大量の攻撃を受けた場合、<u>④過去に発生した事象が調査できなくなるおそれがある</u>。</td> </tr> </table> </div> </div> <div> </div>
〔 課題に対する対策〕
R主任は、課題に対して次の対策案を検討した。
- 項番1の対策として、C社に接続するP社のPC及びネットワーク機器の情報をP社から提供してもらい、機器の一覧を作成する。また、P社に運用ルールの作成を依頼し、作成してもらった運用ルールが適切であることを確認する。
- 項番2の対策として、R主任を特権ID管理者とし、R主任が許可した場合だけ、特権IDを利用可能にする運用ルールを作成する。また、R主任が許可した場合には、特権ID にワンタイムパスワードを設定し、利用者に払い出す仕組みを導入する。
- 項番3の対策として、バックアップデータが暗号化されないように、NASに加えて、[ c ]バックアップに対応したストレージにバックアップデータを保存する。また、バックアップデータは3世代分保存する。
- 項番4の対策として、ログサーバを設置し、PC、サーバ及びネットワーク機器のログを保存する。
R主任は、C社内の再発防止会議で対策案の報告を行い、対策案は承認された。
設問1 本文中の下線①の調査方法の名称を、片仮名12字以内で答えよ。
設問2 本文中の[ a ]に入れる適切な字句、本文中の[ b ]に入れる適切なプロトコル名をそれぞれ解答群の中から選び、記号で答えよ。
解答群
ア HTTP
イ HTTPS
ウ RDP
エ SSH
オ 辞書
カ 中間者
キ パスワードスプレー
ク リプレイ
設問3 本文中の下線②について、変更した設定項目を本文中の字句を用いて15字以内で答えよ。また、防御できないおそれがある理由を、❝同一❞という字句を用いて25字以内で答えよ。
設問4 〔U社からC社への報告〕について答えよ。
(1) 表2中の下線③について、バックアップデータに発生していたおそれがある事象を30字以内で答えよ。
(2) 表2中の下線④について、調査ができなくなる理由を20字以内で答えよ。
設問5 本文中の[ c ]に入れる適切な字句を解答群の中から選び、記号で答えよ。
解答群
ア イミュータブル
イ インクリメンタル
ウ ディファレンシャル
エ マルチプル
令和6年度秋期 午後 問1 情報セキュリティ(問題原文)
回答・解説
設問1
1 5 10 11 20
21 25
設問2
設問3
したがって
a:
b:
設問4
イ
設問5
設問6
(1)
1 5 10 11 20
21 25 30 35
設問6
(2)
AP過去問_令和7年度春期_午後_問2_経営戦略の同じ回の次の問題へ移動。
AP過去問_令和6年度秋期_午後_問1_情報セキュリティの前の回の同じカテゴリの問題へ移動。
AP 過去問題 午後に戻る。