FE SUBJECT B
基本情報技術者 科目Bの問題解説
問題
A社のWebサービスには,利用者が指定したURLの画像を取り込んでプレビュー表示する機能がある。サーバが利用者の指定したURLへアクセスして画像を取得する仕組みである。脆弱性診断で,利用者が外部の画像URLではなく,社内ネットワーク内のサーバや,クラウド基盤の内部管理用アドレスを指定すると,本来外部からは到達できないはずの内部情報をサーバ経由で取得できてしまうことが指摘された。
対策として,最も適切なものはどれか。
- ア プレビュー画像の表示サイズを小さくする。
- イ 取得した画像を必ずモノクロに変換して表示する。
- ウ サーバが接続する宛先を,あらかじめ許可したドメインやIPアドレスだけに限定して検証する。
- エ 画像のファイル形式をPNGだけに制限する。
- オ プレビュー機能の利用回数を1日10回までに制限する。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲
正解と解説
正解:サーバが接続する宛先を,あらかじめ許可したドメインやIPアドレスだけに限定して検証する。
正解:ウ
状況の整理:サーバが利用者指定のURLへ自分でアクセスする機能を悪用され,内部ネットワークやクラウド内部アドレスへアクセスさせられている。これがサーバサイドリクエストフォージェリ(SSRF)。
なぜウか:接続先をホワイトリスト(許可した宛先)に限定し,内部アドレスへの接続を拒否すれば,攻撃者が内部資源を指定しても到達できない。SSRFの本質的対策。
誤答の理由:ア(表示サイズ)・イ(モノクロ化)・エ(PNG限定)・オ(回数制限)は,どこへアクセスするかという問題に関係しない。形式や見た目を変えても,内部アドレスへの到達は防げない。
読み解きのコツ:「サーバが利用者指定のURLへアクセスし,内部に到達」はSSRF。接続先の検証・限定が答え。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。