情報セキュリティ

基本情報技術者試験SSRF」の問題

情報セキュリティ情報セキュリティ難易度:hard
あるWebアプリには、利用者が指定したURLの画像を取得してプレビュー表示する機能がある。攻撃者がこの機能に社内ネットワークやクラウドの内部管理用アドレスを指定し、外部から直接は到達できない内部リソースへサーバ経由でアクセスさせる攻撃が懸念される。この攻撃への対策として、最も適切なものはどれか。
サーバが接続しに行ける宛先を定めた範囲に絞り、内部帯や非公開アドレスへの発信を成立させない。
取得した結果を画面に映す際の表示サイズを小さくし、一度に画面へ出る情報量を抑えるようにする。
取得したファイルをサーバ上で暗号化したうえで保存し、保管中の流出に備えるようにする。
一人の利用者がURLを指定できる回数に上限を設け、短時間の連続した指定を抑えるようにする。
正解
サーバが接続しに行ける宛先を定めた範囲に絞り、内部帯や非公開アドレスへの発信を成立させない。

SSRF(サーバサイドリクエストフォージェリ)は、サーバが利用者指定のURLへアクセスする機能を悪用し、外部から直接到達できない内部アドレスへサーバを踏み台に接続させる。サーバが発信できる宛先を事前に定めた安全な範囲のみに絞り、内部・プライベートアドレスや非公開エンドポイントへの接続を成立させなければ、攻撃者が狙う内部宛アクセス経路を遮断でき、原因に直接対応する。

?選択肢ごとの解説

ア ○SSRF(サーバサイドリクエストフォージェリ)は、サーバが利用者指定のURLへアクセスする機能を悪用し、外部から直接到達できない内部アドレスへサーバを踏み台に接続させる。サーバが発信できる宛先を事前に定めた安全な範囲のみに絞り、内部・プライベートアドレスや非公開エンドポイントへの接続を成立させなければ、攻撃者が狙う内部宛アクセス経路を遮断でき、原因に直接対応する。
イ ×表示サイズの縮小は見た目の情報量を減らすだけで、サーバが内部リソースへアクセスしてしまう動作そのものは止められない。
ウ ×取得画像の暗号化保存は保存データの漏えい対策であり、サーバを踏み台に内部へアクセスさせるSSRFの本質的な動作を防げない。
エ ×入力回数の上限は連続実行を抑えるだけで、一回の指定でも内部リソースへ到達できるSSRFを防止できない。

くわしく

SSRFの本質は『サーバの位置と権限を借りて、本来届かない宛先へアクセスさせる』ことにある。対策はアクセス先の制御が中心で、許可リスト方式(許す宛先のみ通す)が拒否リスト方式より堅牢であり、内部アドレス帯やメタデータ用エンドポイントへの遮断を組み合わせる。

本番での押さえどころ

試験のコツ

『サーバが利用者指定URLへアクセスし内部に到達』はSSRF。対策はアクセス先の許可リスト化と内部アドレスへの接続拒否。

覚え方

SSRFは『使いっ走りに内部へお使いに行かせる』。行ける宛先を許可リストで縛る。

よくある誤り

表示や保存といった出力側の対策を選びがちだが、SSRFはサーバの『アクセス先』を制御しなければ防げない。許可リストが基本である。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0101

【基本情報技術者試験】SSRFの問題 — 解答・解説|ukamiru 過去問