本文へスキップ

FE SUBJECT B

基本情報技術者 科目Bの問題解説:A社の画像取得APIでは、利用者が指定したURLをサーバが取…

情報セキュリティ 難しい fe_b_v89_sec_005

問題

A社の画像取得APIでは、利用者が指定したURLをサーバが取得する。プライベートIPアドレスを拒否していたが、外部ドメインからリダイレクトさせることで、最終的にクラウド基盤のメタデータサービスへアクセスできることが分かった。DNSの名前解決結果が時間差で変わるケースも想定する必要がある。

対策として、最も適切なものはどれか。

  1. URL文字列にlocalhostが含まれている場合だけ拒否する。
  2. 取得画像のサイズを小さくする。
  3. 許可したドメインだけに接続し、リダイレクト後・名前解決後のIPも検証して内部アドレスやメタデータアドレスへの接続を遮断する。(正解)
  4. 利用者のユーザエージェントを記録するだけにする。
  5. 画像を常にJPEGに変換する。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲

正解と解説

正解:許可したドメインだけに接続し、リダイレクト後・名前解決後のIPも検証して内部アドレスやメタデータアドレスへの接続を遮断する。

SSRFではサーバ自身に内部ネットワークへアクセスさせられます。文字列だけの拒否では、リダイレクトやDNSの変化で回避され得ます。

許可リスト方式にし、最終接続先IPまで検証して内部・リンクローカル・メタデータサービスを遮断する必要があります。

Hardでの見抜き方:SSRFはURL文字列の見た目だけでは防げません。リダイレクト後、DNS解決後、最終接続先IPまで検証し、内部アドレスやクラウドメタデータへの通信を遮断する必要があります。

追加の確認:一見有効そうな補助策と、原因を直接取り除く対策を区別しましょう。運用上の注意喚起や表示変更だけでは、攻撃経路や権限不備そのものは残るため、根本原因に対応する選択肢を選びます。

他の選択肢はなぜ違う?

  • localhost文字列の拒否だけでは、リダイレクトやDNSの変化で内部アドレスに到達できる。
  • 取得画像のサイズはSSRFと無関係。
  • ユーザエージェントの記録は接続先の制御にならない。
  • JPEG変換も内部アクセスの遮断にはならない。

この問題について

出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲

公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。

公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。

参考範囲: 2026年度現行科目B・シラバスVer.9.x参考

参考文献・出典(公式情報)

RELATED

関連問題