平成28年度春季情報セキュリティスペシャリスト 午後1 問3
・全体
スマートフォンのサーバー証明書について問われている
・ページ14
【Sシステムの概要】
サーバーはWebサーバとして使用されており、スマートフォンに対応した証明書が配備されている
SアプリはSシステム向けのスマートフォンアプリで、SサーバーのFQDNが組み込まれている
SアプリはSシステムに接続するにあたり、以下の仕様を有している
Sサーバーと通信ができない場合は、通信エラーの画面を表示する
Sサーバーを認証できない場合は、サーバー認証エラーを表示する
・ページ15
・図3 サーバー証明書の試験環境
証明書の検証を行うため、テスト用にプライベート認証局を構築している。
Sアプリは、試験用DNSサーバーからWebサーバーのIPアドレスを取得し、無線LAN、アクセスポイントからレイア2スイッチを経由してWebサーバーに接続していることを図から読み取る
・表1 サーバ証明書の検証試験環境で用いる機器の設定
試験用DBSサーバーの設定について、FQDNの設定先と、IPアドレスの取得元を問われている。
FQDNにはSアプリで識別できるSシステムのホスト名を指定しなければならないので、SサーバーのFQDNを指定するようにする
一方、IPアドレスはテストで使うWebサーバがスマートフォンから接続できなければならないので、指定するIPアドレスはテスト用Webサーバーとなる
・表2 不正なサーバ証明書の検出についての試験項目について
まず、証明書の発行者が不正であることを検出するテストについて考える。
証明書の発行者が正当かどうかは、スマートフォンに証明書を発行している認証局のルート証明書が存在している必要がある。なので、Sアプリにテストで使うプライベート認証局のルート証明書をインストールしていない状態でSサーバーに接続し、画面に認証エラーが表示されていることを確認すればよい
次に、証明書が有効期間内でないことの検出については、証明書の有効期間の終了日を試験開始日より過去日にした状態でSサーバーに接続し、画面に認証エラーが表示されていることを確認すればよい
最後に、証明書のサブジェクトのコモンネームが不正であることの検出については、証明書のサブジェクトのコモンネームをSサーバーのFQDNとは異なる値にした状態でSサーバーに接続し、画面に認証エラーが表示されていることを確認すればよい
・ページ16~17
〔Sアプリでのサーバ証明書の検証不備による影響の検討〕
・表3 攻撃者が準備するサーバー証明書について
使用する証明書に検証不備があると中間攻撃により通信が傍受される恐れがあるが、その具体例を考えてみる
最初にサーバー証明書の発行者の検証不備があり、サブジェクトのコモンネームの検証に不備がある場合は、攻撃者はプライベート認証局とサーバーのコモンネームに任意のFQDNを指定することで中間攻撃を成功させることができる
次にサーバー証明書の発行者の検証不備があり、サブジェクトのコモンネームに検証不備がない場合は、攻撃者はプライベート認証局を用意し、サーバーのコモンネームがSサーバーのFQDNのときのみ、中間攻撃が成功する
最後に、サーバー証明書の発行者に検証不備がなくサブジェクトのコモンネームに検証不備がない場合は、攻撃者はスマートフォンに対応している商用認証局を用意し、かつ、攻撃者が所有しているドメインを使用したFQDNを使用した場合に中間攻撃が成功する
・ページ18
無線LANにおけるなりすましについて
APと利用者の端末間の通信が暗号化されている場合でも、AP接続に必要となるSSIDと暗号化キーを不特定多数の利用者で今日共用できるようなフリーWiFiの利用においては第三者が暗号化された通信の複合に必要な情報を得ることができるため、盗聴される可能性がある。
アクセス
トータル
ランキング
