HOME»応用情報技術者試験掲示板»HTTP over TLS(HTTPS)での攻撃
投稿する
»[3740] 令和2年午後問4 設問3 について 投稿数:2
»[3739] 午後問3プログラミングについて 投稿数:4
HTTP over TLS(HTTPS)での攻撃 [3742]
もりもりさん(No.1)
問題とは少しずれてるかもしれませんが
https://www.ap-siken.com/bunya.php?m=11&s=1&no=38
解説で
攻撃者が社内ネットワークに仕掛けたマルウェアによってHTTPSが使われると,通信内容がチェックできないので,秘密情報が社外に送信されてしまう。
とありますが、これって普段社内業務でHTTPSで通信すればネットワーク管理者にばれないの?
と考えてしまったんですが、そんなことありえませんよね。
HTTPSで通信を普段会社でたくさんしていますが、よく会社では監視しているから、業務と関係ないサイトとかみないでねみたいな通達がでています。
だとしたらこの問題はなりたっていないよねって今思っています。
セキュリティに詳しい方、なぜこの問題はHTTPS通信は社内でも通信をみることができないみたいなことが書いてあるのでしょうか。教えてください。
https://www.ap-siken.com/bunya.php?m=11&s=1&no=38
解説で
攻撃者が社内ネットワークに仕掛けたマルウェアによってHTTPSが使われると,通信内容がチェックできないので,秘密情報が社外に送信されてしまう。
とありますが、これって普段社内業務でHTTPSで通信すればネットワーク管理者にばれないの?
と考えてしまったんですが、そんなことありえませんよね。
HTTPSで通信を普段会社でたくさんしていますが、よく会社では監視しているから、業務と関係ないサイトとかみないでねみたいな通達がでています。
だとしたらこの問題はなりたっていないよねって今思っています。
セキュリティに詳しい方、なぜこの問題はHTTPS通信は社内でも通信をみることができないみたいなことが書いてあるのでしょうか。教えてください。
2022.09.28 20:52
サディスさん(No.2)
実務経験ないので詳しいことは分かりませんが、プロキシサーバで監視しているのではないでしょうか?
サーバ証明書をインストールしてるプロキシサーバでHTTPSを復号してセキュリティチェックしてから、プロキシサーバが再度暗号化してWebサーバに送信することができます。
また、TLSアクセラレータを通過する前にWAFで暗号化されてないHTTP通信を診断することもできると思います。
私の予想なので信頼度は低いですが、それらを使っているのではないでしょうか?
サーバ証明書をインストールしてるプロキシサーバでHTTPSを復号してセキュリティチェックしてから、プロキシサーバが再度暗号化してWebサーバに送信することができます。
また、TLSアクセラレータを通過する前にWAFで暗号化されてないHTTP通信を診断することもできると思います。
私の予想なので信頼度は低いですが、それらを使っているのではないでしょうか?
2022.09.28 21:08
GinSanaさん(No.3)
★AP プラチナマイスター
FWでPCからインターネットへのHTTPSプロトコルを許可してたら(HTTPSプロトコルのPC→インターネットを拒否、プロキシサーバ→インターネットは許可とかにしていない場合)、そうなるでしょうね。C&Cサーバとのやり取りで通信されるときに。
Paloalto(パロアルト)とかのSSL Forward Proxyとかで、制御装置を経由するときに、一旦、通信データを復号化し、データを確認後、再暗号化する機能があるから、
といわれるのは、通信内容をプロキシかなんかで復号してみてるんじゃないですか。
Paloalto(パロアルト)とかのSSL Forward Proxyとかで、制御装置を経由するときに、一旦、通信データを復号化し、データを確認後、再暗号化する機能があるから、
>会社では監視しているから、業務と関係ないサイトとかみないでね
といわれるのは、通信内容をプロキシかなんかで復号してみてるんじゃないですか。
2022.09.28 22:41
レックスさん(No.4)
すごく単純化して考えてみます。
HTTPSで暗号化された通信だったら、秘密鍵を持っている人(受信側)しか複合できないので、通信経路で内容チェックはできない、という事になります(問題の解説通り)。
一方、
といわれるのは、内容でなくアクセス先をチェックしているのではないでしょうか?
HTTPSで暗号化された通信だったら、秘密鍵を持っている人(受信側)しか複合できないので、通信経路で内容チェックはできない、という事になります(問題の解説通り)。
一方、
>会社では監視しているから、業務と関係ないサイトとかみないでね
といわれるのは、内容でなくアクセス先をチェックしているのではないでしょうか?
2022.09.28 22:56
レックスさん(No.5)
申し訳ありません。間違っていました。
HTTPSの暗号方式は、共通鍵方式でした。以下の解説で図示されています。
https://www.ap-siken.com/kakomon/29_haru/q37.html
いずれにしても「通信経路で内容チェックはできない」というのは問題の解説通りだと思います。
>HTTPSで暗号化された通信だったら、秘密鍵を持っている人(受信側)しか複合できないので、通信経路>>で内容チェックはできない、という事になります(問題の解説通り)。
HTTPSの暗号方式は、共通鍵方式でした。以下の解説で図示されています。
https://www.ap-siken.com/kakomon/29_haru/q37.html
いずれにしても「通信経路で内容チェックはできない」というのは問題の解説通りだと思います。
2022.09.28 23:08
陽射さん(No.6)
★AP ブロンズマイスター
例題は、経由する機器に復号化機能がない場合を想定しての問題点を指しているかと思います。経由する機器として、プロキシサーバやフォレンジック(キャプチャする機器)などがあります。
それらにHTTPS通信を復号化する機能がなければ、通信が暗号化されていてデータ部分がが見えないので、情報漏洩の有無の判別ができないってことです。
ここからは余談です。
プロキシサーバに復号化機能が備わっていれば、復号化によりHTTPヘッダが見えるので、メソッドやパスが判別できます。例えば、社内のファイルをアップロードすれば、HTTPヘッダのPUTやPOSTメソッド、アップロードされたファイル名まで判別できます。
復号化機能がなければこれらは判りません。
また、復号化機能のないプロキシサーバでは、Connectメソッドが使われますがアクセス先のドメインは判別できてもその先のパスが判りません。例えば、yahooやgoogleで検索してもプロキシサーバ上のログからFQDNとポート番号(443)しか判別できません。(検索したワードなどは判別不可)
それらにHTTPS通信を復号化する機能がなければ、通信が暗号化されていてデータ部分がが見えないので、情報漏洩の有無の判別ができないってことです。
ここからは余談です。
プロキシサーバに復号化機能が備わっていれば、復号化によりHTTPヘッダが見えるので、メソッドやパスが判別できます。例えば、社内のファイルをアップロードすれば、HTTPヘッダのPUTやPOSTメソッド、アップロードされたファイル名まで判別できます。
復号化機能がなければこれらは判りません。
また、復号化機能のないプロキシサーバでは、Connectメソッドが使われますがアクセス先のドメインは判別できてもその先のパスが判りません。例えば、yahooやgoogleで検索してもプロキシサーバ上のログからFQDNとポート番号(443)しか判別できません。(検索したワードなどは判別不可)
2022.09.28 23:59
もりもりさん(No.7)
ありがとうございます!
2022.10.01 20:09
その他のスレッド
»[3741] 平成25年秋期午後問8 設問3 解説文(1)脱字 投稿数:1»[3740] 令和2年午後問4 設問3 について 投稿数:2
»[3739] 午後問3プログラミングについて 投稿数:4