令和4年度 春期 情報処理安全確保支援士試験 午後Ⅰ 問2過去問題解説 ‐緊急指令:A社をランサムウェアから救え!~システム部の事件簿~
Автор: 【過去問10年分】情報処理技術者試験解説チャンネル
Загружено: 2026-02-06
Просмотров: 32
Описание:
令和4年度春期情報処理安全確保支援士試験午後Ⅰ問2の解説動画です。NASが直接ランサムウェアに感染した事例を題材に、パストラバーサルやOSコマンドインジェクションといったWeb脆弱性の仕組み、sudoとtarコマンドを悪用した特権昇格の手口、そしてIoT機器をインターネットに公開する際のリスクと検索エンジン対策など、実務で直面する脅威への対応策を詳細に解説します。
本動画で取り上げる事例は、PCを経由せずIoT機器であるNAS自体がランサムウェアに感染したという点が特徴的であり、攻撃者がどのように脆弱性を連鎖させてシステムを掌握したかを理解することが重要です。まず学習すべきはパストラバーサル攻撃であり、これはURLに相対パス記法を含めることでディレクトリ階層を遡り、本来アクセスできないファイルや機能へアクセスする手法ですが、本問では認証回避のために悪用されました。これに対する正しい実装としては、単にアクセス制御リストと照合するだけでは不十分であり、まずURLデコードを行い、次にドットドットスラッシュなどの相対パスを解消するパス名の正規化を行い、その後に除外リストとの比較を行うという厳密な処理順序が求められます。次に理解すべきはOSコマンドインジェクションであり、これはWebアプリケーションがシェルを介して外部コマンドを実行する際に、適切な無害化を行わないことで攻撃者が任意のOSコマンドを実行できてしまう脆弱性です。本事例ではping機能の入力値検証不備が突かれました。さらに攻撃者は侵入後に権限昇格を行っていますが、ここで悪用されたのがLinuxの管理者権限付与に使われるsudoコマンドと、アーカイブ操作に使われるtarコマンドの組み合わせです。tarコマンドにはチェックポイント機能などを用いて任意のコマンドを実行させるオプションが存在するため、sudoの設定ファイルにおいてtarコマンドの引数を制限せずに許可していると、一般ユーザ権限からroot権限へと昇格されてしまうリスクがあることを具体的な設定不備とともに学びます。またネットワーク構成の観点からは、ルータのUPnP機能がWAN側で有効になっている場合の危険性や、ダイナミックDNSを利用して公開されたサーバが検索エンジンにインデックスされないようにするためのHTMLメタタグによるクローラ制御など、機器設置時やWeb公開時に見落としがちな設定項目についても網羅的に確認します。これらの要素技術を一つ一つ紐解きながら、脆弱性の根本原因を特定し、論理的かつ具体的な修正案を導き出すプロセスを身につけましょう。
Повторяем попытку...
Доступные форматы для скачивания:
Скачать видео
-
Информация по загрузке:
