FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説
問題
B社の業務システムには,外部サービスのAPIを呼び出して為替レートを取得する機能があり,接続先のURLを管理画面から自由に設定できる。診断担当者から,この設定を悪用して接続先にクラウドのメタデータ取得用の内部アドレスを指定すると,サーバに割り当てられた一時的な認証情報を盗み出せるおそれがあると指摘された。Bさんは設定機能の安全性を高めることにした。
対策として,最も適切なものはどれか。
- ア 接続先として指定できるURLを,業務で必要な外部サービスのドメインだけに限定する。
- イ 為替レートの取得間隔を長くする。
- ウ 管理画面の背景を白から灰色に変更する。
- エ 取得した為替レートを小数第4位まで表示する。
- オ 管理画面のログインIDを長くする。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲
正解と解説
正解:接続先として指定できるURLを,業務で必要な外部サービスのドメインだけに限定する。
正解:ア
状況の整理:接続先URLを自由に指定できることを悪用し,クラウドの内部メタデータアドレスへアクセスさせて認証情報を盗もうとしている。SSRFによるクラウド資格情報窃取の典型。
なぜアか:指定可能な接続先を必要な外部ドメインだけに限定すれば,内部メタデータアドレスは指定できず,攻撃が成立しない。
誤答の理由:イ(取得間隔)・ウ(背景色)・エ(表示桁数)・オ(IDの長さ)は,接続先を制限するという核心に触れず,攻撃を防げない。
読み解きのコツ:クラウドの内部メタデータアドレスが出てきたらSSRF。接続先のホワイトリスト化を選ぶ。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。