FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説:B社の業務システムには、外部サービスのAPIを呼び出して為替…
問題
B社の業務システムには、外部サービスのAPIを呼び出して為替レートを取得する機能があり、接続先のURLを管理画面から自由に設定できる。診断担当者から、この設定を悪用して接続先にクラウドのメタデータ取得用の内部アドレスを指定すると、サーバに割り当てられた一時的な認証情報を盗み出せるおそれがあると指摘された。Bさんは設定機能の安全性を高めることにした。
対策として、最も適切なものはどれか。
- ア 接続先として指定できるURLを、業務で必要な外部サービスのドメインだけに限定する。(正解)
- イ 為替レートの取得間隔を長くする。
- ウ 管理画面の背景を白から灰色に変更する。
- エ 取得した為替レートを小数第4位まで表示する。
- オ 管理画面のログインIDを長くする。
正解と解説
正解:接続先として指定できるURLを、業務で必要な外部サービスのドメインだけに限定する。
状況の整理:接続先URLを自由に指定できることを悪用し、クラウドの内部メタデータアドレスへアクセスさせて認証情報を盗もうとしています。SSRFによるクラウド資格情報窃取の典型です。
なぜアか:指定可能な接続先を必要な外部ドメインだけに限定すれば、内部メタデータアドレスは指定できず、攻撃が成立しません。
誤答の理由:イ(取得間隔)・ウ(背景色)・エ(表示桁数)・オ(IDの長さ)は、接続先を制限するという核心に触れず、攻撃を防げません。
読み解きのコツ:クラウドの内部メタデータアドレスが出てきたらSSRFです。接続先のホワイトリスト化を選びましょう。
他の選択肢はなぜ違う?
- イ取得間隔を延ばしても、内部アドレスへの接続自体は可能なまま。
- ウ背景色は無関係。
- エ表示桁数も無関係。
- オログインIDを長くしても、設定機能の悪用は防げない。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。