基本情報技術者試験「SSRF」の問題
あるWebアプリには、利用者が指定したURLの画像を取得してプレビュー表示する機能がある。攻撃者がこの機能に社内ネットワークやクラウドの内部管理用アドレスを指定し、外部から直接は到達できない内部リソースへサーバ経由でアクセスさせる攻撃が懸念される。この攻撃への対策として、最も適切なものはどれか。
アサーバが接続しに行ける宛先を定めた範囲に絞り、内部帯や非公開アドレスへの発信を成立させない。
イ取得した結果を画面に映す際の表示サイズを小さくし、一度に画面へ出る情報量を抑えるようにする。
ウ取得したファイルをサーバ上で暗号化したうえで保存し、保管中の流出に備えるようにする。
エ一人の利用者がURLを指定できる回数に上限を設け、短時間の連続した指定を抑えるようにする。
正解
ア.サーバが接続しに行ける宛先を定めた範囲に絞り、内部帯や非公開アドレスへの発信を成立させない。
SSRF(サーバサイドリクエストフォージェリ)は、サーバが利用者指定のURLへアクセスする機能を悪用し、外部から直接到達できない内部アドレスへサーバを踏み台に接続させる。サーバが発信できる宛先を事前に定めた安全な範囲のみに絞り、内部・プライベートアドレスや非公開エンドポイントへの接続を成立させなければ、攻撃者が狙う内部宛アクセス経路を遮断でき、原因に直接対応する。
?選択肢ごとの解説
ア ○SSRF(サーバサイドリクエストフォージェリ)は、サーバが利用者指定のURLへアクセスする機能を悪用し、外部から直接到達できない内部アドレスへサーバを踏み台に接続させる。サーバが発信できる宛先を事前に定めた安全な範囲のみに絞り、内部・プライベートアドレスや非公開エンドポイントへの接続を成立させなければ、攻撃者が狙う内部宛アクセス経路を遮断でき、原因に直接対応する。
イ ×表示サイズの縮小は見た目の情報量を減らすだけで、サーバが内部リソースへアクセスしてしまう動作そのものは止められない。
ウ ×取得画像の暗号化保存は保存データの漏えい対策であり、サーバを踏み台に内部へアクセスさせるSSRFの本質的な動作を防げない。
エ ×入力回数の上限は連続実行を抑えるだけで、一回の指定でも内部リソースへ到達できるSSRFを防止できない。
✎くわしく
SSRFの本質は『サーバの位置と権限を借りて、本来届かない宛先へアクセスさせる』ことにある。対策はアクセス先の制御が中心で、許可リスト方式(許す宛先のみ通す)が拒否リスト方式より堅牢であり、内部アドレス帯やメタデータ用エンドポイントへの遮断を組み合わせる。
✓本番での押さえどころ
試験のコツ
『サーバが利用者指定URLへアクセスし内部に到達』はSSRF。対策はアクセス先の許可リスト化と内部アドレスへの接続拒否。
覚え方
SSRFは『使いっ走りに内部へお使いに行かせる』。行ける宛先を許可リストで縛る。
よくある誤り
表示や保存といった出力側の対策を選びがちだが、SSRFはサーバの『アクセス先』を制御しなければ防げない。許可リストが基本である。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0101