たまたま脆弱性検査担当者になって、仕事がらみで日々感じる雑感

情報セキュリティスペシャリスト試験午後Ⅱ問題??(2)

»

悪夢の続き-「文意どおり解釈してください。」

(このお話はフィクションです。実在の人物や団体などとは関係ありません。)
 
(前回より続く)
[J社におけるログ解析結果]
データベースのログとWebアプリケーションログを調べたところ、Webアプリケーション以外からのデータベースへのアクセスが行われていたことが明らかになった。

[WebサイトPのサーバの調査結果]
データベースへのアクセスは、Webアプリケーションからだけでなく、サーバ上のツールYからも行われていた。また、サーバにはファイルをアップロードするツールXがあった。

[ツールXとツールY]
ツールXはサーバ上にファイルをアップロードする。サーバ構築時に広く利用されているツールである。一方ツールYはデータベースからの読み出しを行う。一般に公開されているものではなく、自作された可能性がある。

[侵入者のIPアドレス]
ツールYを通してデータベースにアクセスしていたとみられるIPアドレスは複数確認されており、中国からと日本からの両方がある。

[顧客情報の件数]
データベースに登録されていた顧客情報は20万件だった。一方、ツールYから読みだされたとみられる顧客情報は200件だった。掲示板に掲載されていたのは、そのうち30件だった。

[ツールYの変数の命名規則]
ツールYのすべての変数には、*****_aのように、アンダースコアと英文字1字が付加されていた。

[設問]
本インシデントに関して、以下についてどのような推測が可能か述べよ。
1. 不正アクセスしたのは誰か
2. 何を不正アクセスされたのか
3. 不正アクセスされた情報は何か
4. いつ不正アクセスが行われたのか
5.どこから不正アクセスが行われたのか
6. 何故不正アクセスが発生したのか
 
***
 
久しぶりに自分の席について、私はすこし自分の頭を整理したくて、わかっていることをまとめてみた。そして、「設問」を自問してみた。

データベース仕様書のことは、あえて頭から追いやった。けれどももしかしたら、あのデータベース仕様書こそが、大きな意味を持っているのかもしれない、という気がしてきた。
 
***
 
[データベース仕様書]
A課長がWebサイトPのサイト管理者にデータベース仕様書を出すように求めると、サイト管理者はExcelファイルのデータベース仕様書を提出した。作成日時は三年前であり、作成者はJ社IT部門のGさんだった。Gさんは三年前に亡くなっていた。
 
***
 
だめだ。情報処理技術者試験のように解けそうに思っていたこの問題が、また混乱の中に戻ってしまったように思えた。

私はともかくこの問題を、誰かと話してみたいと思った。ふと目をあげると、Dさんがこちらに歩いてくるのが見えた。だが、ここでは話せないことを思い出した。

「Dさん、メール送っとくから、時間が空いたら返事ちょうだい。」
「はい」

私はまとめたテキストをメールで送った。

なんてこった

年金機構の情報流出、いやーやっちゃいましたね。「同様の攻撃が行われた場合、うちでは大丈夫か?」なんて偉い人から聞かれて仕事が増えた人はいますか?はぁーい。
これから税金・公金が情報セキュリティ業界に流れ込むんでしょうか。

ここまでお読みいただき、ありがとうございました。

Comment(0)