R3秋 SC 午後Ⅰ問3(セキュリティインシデント)を解いた

R3秋 SC 午後Ⅰ問3(セキュリティインシデント)
29分、見直しに16分かかった。問題文の読み方よりも気を散らしている時間をどうなくすかの方が大事そうということがわかった。
設問1(1)初めてSSHでリモートサーバに接続する際、サーバのホストキーのフィンガプリント(デジタル署名のハッシュ値)が表示され、ユーザがこれを信頼するか確認する。
フィンガプリントが何なのかわからず、この手順で保守用中継サーバに保守PC-B、Cを登録しているのかと思った。フィンガープリントは、サーバの公開鍵のハッシュ値。FWでフィルタリングにひっかかっても警告メッセージは表示されないだろうなと思いつつも「FWの設定が変更された」「保守PCの登録情報が消去された」などを書いては消した。正解は「接続先が保守用中継サーバではない」。「インターネット経由で保守用中継サーバにSSH接続する」際の話をしてたんじゃなかったのか!?接続先は保証されていると思いこんでた。SSH接続についてさらに学習する必要がありそう。ポート番号22なことしか覚えてなかった。…。

(2)一般利用者権限に出来ず特権利用者に出来ることを記述すれば良いのだと思い、なぜ問題文では操作ログを回答中に入れることを指定されSSH認証ログは除かれているのか疑問だった。SSH認証を正しく行える保守員が行う不正行為として想定されるものが保守中継サーバや顧客管理サーバで行ったふるまいを隠ぺい、偽装することだからか。
図4のヒアリングで保守員の回答と操作ログに矛盾がないことを確認していることで気づければよかった。

設問3(1)何を聞かれているのかわからなかった。「なぜパスフレーズなのか(ほかに方法があって、それではダメな理由を答える?)」「なぜ設定するのか(秘密鍵の漏えいを防ぐためでしょ?)」「秘密鍵がパスフレーズなのはなぜか(秘密鍵がパスフレーズなのか、パスフレーズで秘密鍵を守っているのかがわからない)」など混乱し、「十分な強度」に着目して間違っているんだろうなとは思いながら「ブルートフォース攻撃に備えるため」と回答した。SSHの公開鍵認証のイメージがあいまいだからこうなるの?
秘密鍵にパスフレーズをつけると、クライアントがSSH接続を行う際にパスフレーズの入力が求められるようになるらしい。なるほど。来週もこの問題を解く。