国家公務員試験に新区分「デジタル」が追加されるらしい。

何でもデジタル付けりゃいいってもんじゃない。ほんとアホかと思うが、それはさておき、試験問題の例題が人事院ホームページに公開されたらしいので見てみる。

www.jinji.go.jp

書いてコンパイルしてみる。

$ vim jinjiD_01.c

コンパイルして実行。

$ gcc -Wall -o jinjiD_01.out jinjiD_01.c

$ ./jinjiD_01.out

答えは4。

こんなもん、本当に試験でやるべきことなのか…？

こんな問題でプログラミング人材は育たない。手を動かして、作る喜びを知ってナンボなのに。

こんなの作って「デジタル」のやってる感を真顔で演出しなきゃいけないこの国の政治・行政の愚かさよ。

手を動かす。ちょっと改造。

$ vim jinjiD_02.c

コンパイル。

$ gcc -Wall -o jinjiD_02.out jinjiD_02.c

実行。

$ ./jinjiD_02.out

ほう。

＆（アンパサンド）はC言語ではビット演算子らしい。ここはよく分かってない。

ビット左にズラしたら2のn乗で重くなりそうな気はする。あとでちゃんとやる。

www.c-lang.org

前回の続き。受かる受からないもだけど、復習が大事。結局のところ、自分の知識と能力として獲得できなければ意味がない。

特に今回の問2の問題（DNSリフレクション攻撃があったら、DNSコンテンツサーバとキャッシュサーバを分ける）というのは、実務ではかなり役立ちそうなので、確実にモノにしておく。

※ なおTACの回答はこちら。

https://www.tac-school.co.jp/kaitousokuhou/downloads/14_R3S_SC%E8%A7%A3%E7%AD%94%E4%BE%8B.pdf

自分の答え（赤は明らかな間違い）（青が正しいと思われる）

全体として「具体的に述べよ」とあるところは必ず文中の言葉を使い、文中にある機器名に対して「何を」「どうするか」を明確になるよう回答した。 

　（１）の問題文では、「本文中の下線①について、A社の公開Webサーバへの影響を、30字以内で述べよ」と言っている。答えの主旨としては「Webサービスが止まって外部へのWebサービスの提供ができなくなる」ことを答えられればいいはず。

　ここで、問2の設問の冒頭（P7）を見ると、「A社は従業員500名の…小売店であり、インターネットを介して消費者向けに商品を宣伝している」とあるから、ここの言葉を使うとすれば答えは「商品を宣伝できなくなる」を盛り込んでも良さそうに思える。

　けど、そもそもWebサービスができることは商品の宣伝以外にもあり得るわけで、それに絞る必要は感じない。かつ、問題文は公開Webサーバへの影響を述べよ、と言っているわけで、「商品を宣伝できない」というのは「（公開）サーバへの影響」というには、主語がおかしい。

　そして何より、問題文は「具体的に述べよ」とは言っておらず、単に「述べよ」と言っているだけだから、問題文の言葉を使わずとも、自分の表現で良かろう。

　問題文は「影響を述べよ」と言っているから、公開Webサーバに（←影響を受ける対象は問題文で指定されている）どんな影響があるのかを明確にする（公開できなくなることを断言する）よう意識して回答した。

　ここは、他の人の回答（5ch）を見ていても、色々と解答が混じっているようだ。けど、大勢は

　「DNSリフレクター攻撃」

　「DNSリフレクション攻撃」

　「DNS amp攻撃」

　「DNS アンプ攻撃」

のどれかのようで、おそらくそれが正解なのだろう。 

e-words.jp 

自分はDNSスプーフィング攻撃と解答してしまった。おそらく不正解。

ja.wikipedia.org

スプーフは「騙す」の意味のようだ。

DNSスプーフィングというと要は騙しパケットを投げることで、それだと（その典型としての）DNSキャッシュポイゾニングの意味になってしまうらしい。

ところがどっこい、これが「IPスプーフィング」だと、こういう過去問がある（午前Ⅱ）。

これって今回の問題に酷似してるよね…

↑図の「Y.Y.Y.Y」サーバが騙されるDNSサーバだとすれば、それをもって攻撃対象サーバに大量トラフィックを発生させられるわけで。この過去問がアタマにあったので、つい「＊＊＊スプーフィング」と解答してしまったが、どうやら不正解のようだ（部分点くらいくれないかなぁ）。

　この（３）は、かなりの良問と見た。DNSの仕組みをしっかりと理解していないと解答できない。かく言う自分もDNSの知識が曖昧なので、本当に aア bイ でよいのかは自信がない。

　しかし、以下の検討を踏まえるとaア bイ が正しいだろうと考えざるをえない。

（検討）まずは問題文を見返す。

DNS-K が権威サーバ

DNS-F がフルリゾルバ　←これの正確な理解が要る。

この記事がすごく分かりやすい。

www.atmarkit.co.jp

この記事にある

　コンテンツ・サーバが、問題文にあるDNS-K

　キャッシュ・サーバ（リゾルバ）が、DNS-F

そうすると

　コンテンツ・サーバ＝DNS-Kを（DMZに置いて）インターネットに見せる

　キャッシュ（リゾルバ）＝DNS-Fはインターネットから切断する

が正しい。

ここで注意なのは

　キャッシュ（リゾルバ）＝DNS-Fはインターネットから切断する

と言っているのは

　DNS-Fがインターネット側から接続される

　　＝外側から（名前解決のためのリゾルバとして）アクセスされる のを禁止する

という意味であって

　DNS-Fがインターネット側に接続しに行く

　　＝外側へ（名前解決のために）アクセスに行く のは禁止されない

というところ。

その理解で問題文を見返すと

まず項番6 については簡単で、（送信元）インターネット側から（宛先）b へ接続（されること）を許可するわけだから、bにはDNS-K＝コンテンツ・サーバが入る。

で、項番5 が難問。（送信元）a から（宛先）インターネットへの接続、つまり外に出る方向を許可するだけだから、aにはDNS-Fが入る。

　（４）の答えはA（レコード）が正しいようだ。ひっかけ問題にも思えるが、DNSの動きを正常に理解していれば間違えなかったはず。自分の理解が未熟だったと言うしかないが、この機会に覚えることにする。

問題文はこれ。

キャッシュポイゾニングってことはフルリゾルバ（今回でいうとDNS-F）への攻撃だ。

ja.wikipedia.org

問題文は

　「…メールサーバの（c）レコードの IPアドレスが…書き換えられてしまい…」

と言っているから

ついMXレコードと書いてしまいたくなる。

たとえばDNS-Kのゾーンファイルがこうなっていたと仮定すると

　IN MX 10 mail.a-sha.co.jp

MXレコードの右端のドメイン名（mail.a-sha.co.jp）を攻撃者のメールサーバのドメイン名に書き換えてしまえば、メールを奪取できるように思えるからだ。

しかしよく考えると、mx1.example.jpの名前解決をするにはAレコードが必要なわけで、ここで「あれ。答えはもしかしてAレコードかな？」と気づかなきゃいけない。

そうするとゾーンファイルはこんな感じになっているはず

　IN MX 10 mail.a-sha.co.jp

　mail IN A xx.yy.zz.tt

ここで、問題文を目を凝らしてもう一度よくみると

　 「…メールサーバの （c）レコードの IPアドレスが…書き換えられてしまい…」

と言っている。

そうすると、ゾーンファイルのうちIPアドレスが書いてあるのはAレコードなので答えはA（レコード）になる。

（続きは後日追記予定）

参考

www.atmarkit.co.jp

www.atmarkit.co.jp

解答速報というか。自分なりの解答例。

※ 2021/6/25 追記

合格だった。

min117.hatenablog.com

※ IPAの解答はこれ

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03_1/2021r03h_sc_pm2_ans.pdf

※ 2021/7/10 採点講評が掲載された

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03_1/2021r03h_sc_pm2_cmnt.pdf

自分の答え（赤は明らかな間違い）（青が正しいと思われる）

全体として「具体的に述べよ」とあるところは必ず文中の言葉を使い、文中にある機器名に対して「何を」「どうするか」を明確になるよう回答した。 

青色（正しそう）と感じた根拠は5chにある（他の人の）答えによる。

matsuri.5ch.net

以下、自分が回答に際して考えた内容。 

 　「パスワードリスト攻撃」というくらいだから、既に漏洩したパスワード（正確にはIDとパスワードの組み合わせ）が攻撃者の手元にあって、それを使っているのだろう。

　（１）の問題文は「一般にどのような攻撃か」なん聞き方だから、文中の単語を使って答える必要なない問題で、自分の言葉を使っても減点はあまり無いだろうと感じた。

　「一般に」ということは、仮にそれが新聞記事になったとしても（一般の人に）正確に意味が伝わるようにしなければいけない。なので、内容としては「総当たり」であること、「不正」なログインであること、「試行」であることを盛り込むべきと考えて回答した。

　（２）は「パスワードの安全な設定方法とは何か。35字以内で具体的に述べよ」と言っているから、答えは必ず「○○な方法」となるべき。設問をオウム返しで語尾につけるのが正しいお作法のハズ。

　あとは些細なことだが「ID又はパスワード」にするか「ID及びパスワード」にするかで数分悩んでしまった（前者にした）。

　（３）も「ログインが普段と異なる環境から行われたことを判定する技術的手法を、45字以内で具体的に述べよ」と聞いているから、 答えは必ず「○○な手法」となるべき。

　解答の主旨としては「IPアドレスとcookieの組み合わせ等によって判別する」ことが答えられればいいはずだけど、ここはあえてcookie一本に絞って回答してみた。

　ポイントとしては

　「cookieがクライアント側（のブラウザ）に保存されること」（サーバではない）

　「cookieを持っていない環境からのアクセス場合に、普段と違うと判定する」こと

　の2点だろうと思う。

　IPアドレスの記載がないので減点される気もするが、実務ではcookieメインでチェックしてるみたいだし…これでいいかなと。

www.netbk.co.jp

（４）「タイムゾーン」は思いつかなかった。アタリマエすぎて言葉が出なかった。

（５）日本とイギリス（グリニッジ天文台）との時差は9時間。だからJSTとUTCの時差も9時間。これはほとんと地理の問題だ。イギリス旅行しといて良かった。

min117.hatenablog.com

　これも問題文が「社内LANから店舗PCを経由せずにどのようにマルウェアが侵入すると想定されるか。侵入方法を50字以内で具体的に述べよ」と聞いているから、 答えは必ず「○○な方法」となるべき。　

読み取るべき情報としては

・問題にされているのは「店舗管理サーバにマルウェアが侵入するリスク」である（P6の表1）

・N社の関係部門は、管理用PCを操作して店舗管理サーバを利用する（P3の注記2）

・店舗管理システムと社内LANとの間でデータの受渡しが必要な場合はUSBメモリを用いる（P3の注記2）

なので、店舗管理サーバにマルウェアが侵入するためには「USBメモリを介して管理用PCが感染し、そこから（IP-VPNを通じた）ネットワーク経由でサーバに感染する」とも読み取れる。

しかし他方で、USBメモリを直接店舗管理サーバに挿してデータの受渡しをする可能性も否定されていない（店舗管理サーバは店舗管理システムの一部なわけだから）。

ので、解答としては「USBメモリを介して感染する」ことを主眼としつつ、極力問題文（P3の注記2）にある言葉をそのまま利用して文章にした。

（１）情報セキュリティ委員会　が正しいと思う。

　問題となっている組織（P7の表2 N-CSIRTの構成部門） を、N社の組織図（P2）と比べてみる限りは「情報セキュリティ委員会」なんて組織は存在しないのだが、P7の図6の中に「情報セキュリティ委員会の承認」とあるから、インシデント発生時にはこの組織が立ちあがるのだろう。

（２）d 検知 e 分析 f 根絶

 このあたりは常識の範囲で答えても正解してしまいそうな気がする。

（１）は今回の試験の中では一番の難問だったのではないかと思う（5chを見ていても、誰も正解を言っていない）。

　大事なポイントは各セグメントの末尾にあるスラッシュ（/28 と /30）。これによってサブネットマスクの大きさが決まるのでIPアドレスの範囲が定まる。

N社は

　x1.y1.z1.0/28　だから（クラスCで16個のIPアドレスを持つわけで）

　x1.y1.z1.0から x1.y1.z1.15までがN社内のIPアドレスであって

★x1.y1.z1.16より後ろのアドレスからの通信は不正アクセス

と分かる。

で、FW2のログ（P9の図9）と見比べてみると

x1.y1.z1.で始まるものは4個ある。

これらのうち

★x1.y1.z1.16より後ろのアドレスからの通信は不正アクセス

なものを探せばよい。

そうすると

　x1.y1.z1.100

　x1.y1.z1.240

が不正とわかる。

さらに問題文＝設問4（P12）をよく読むと「…のうち不正ログインを行なったと推測される接続元IPアドレスは幾つか。個数を答えよ」と聞いているから、これら4個のうちSSH接続を行なったものだけを拾えばよい。

そうするとやはり

　x1.y1.z1.100

　x1.y1.z1.240

の2つなわけで、結局N社（x1.y1.z1.0/28）からではない不正なアクセスは2個あった。

同様に、V社（x2.y2.z2.128）を見てみると

V社は

　x2.y2.z2.128/30　だから（クラスCで4個のIPアドレスを持つわけで）

　x2.y2.z2.128から x2.y2.z2.131までがV社内のIPアドレスであって

★x2.y2.z2.127より前 or x2.y2.z2.132より後ろのアドレスからの通信は不正アクセス

と分かる。

で、x2.y2.x2が接続元かつSSHの接続を見てみると

4つあって

　x2.y2.z2.130

　x2.y2.z2.129

　x2.y2.z2.60

　x2.y2.z2.58

これらのうち

★x2.y2.z2.127より前 or x2.y2.z2.132より後ろのアドレスからの通信は不正アクセス

なんだから

　x2.y2.z2.60

　x2.y2.z2.58

こいつら2つが不正アクセスと分かる。

あとはa2.b2.c2.d2からのSSHは明らかに不正アクセスだから、まとめると

　x1.y1.z1.100

　x1.y1.z1.240

　x2.y2.z2.60

　x2.y2.z2.58

　a2.b2.c2.d2

の5個が不正アクセスであると分かる。

5chを見ていると、「7個だ」「いや9個だ」「いやいや1個だ」と、さまざまな意見があるが、こうしてみると5個なんじゃないか？と考えざるをえない。　

matsuri.5ch.net

（２）はLinuxを使っていれば余裕で分かる問題だが、問題文が「”/etc/shadow/”ファイルの性質を含めて70字以内で述べよ」 と言っている以上、その性質（管理者のみがアクセスできる）には必ず触れる必要があると思われる。

　自分の解答としては（試験中に焦って時間がなかったせいもあるが）shadowをshadowsと誤記してしまったし、一般権限でも/etcフォルダの参照だけならできるのに、できないような書き方をしてしまって、かなり減点されてしまいそう。

　ただし、問題文が「…脆弱性Mだけを悪用しても…参照できない理由を…述べよ」と言っているから、解答としては「脆弱性Mに触れる」「…だからと答える」べきで、そこは満たせたから、部分点は取れそうな気もする。

　ここも問題文は 「攻撃者が行なった設定変更の内容を、45字以内で具体的に述べよ」と指示しているから、答えとしては「…な変更」となるべき。

　「R1サーバにSSH接続するのに、どこでブロックされているかな？」という視点で問題文を読み返してみると、P4の(3)R1サーバへの接続制御 で、/etc/hosts.allow ファイルの設定で接続元を（N社とV社のみに）限定しているのが分かるから、ここに書き加える変更をしたと答えればよい。

　（4）は、問題文にヒントがあって、「…F2ファイルには…考えられるか。図9中の値及び図10中の値を用いて求めよ」とあるわけだからそこに答えがある。

　図9をみると320kバイトのファイルをアップロードしている（これがF1）なんだから

その直前にある960kバイトは、その3倍の大きさと分かる。

　320kバイトの固定長のF1に8個のアドレス

が書かれていた（図10の(3)）とあるから、その3倍の

　960kバイトのファイルには24個のアドレス

が書かれていたはず、と分かる。

　（5）は、問題文が「SSH接続及びHTTP接続を使った攻撃から開発用システムを保護するための措置　を75字以内で具体的に述べよ」とあるから、SSHとHTTPそれぞれの接続元を限定すべき記載をするのが正しいのだろうが、SSHしか書かなかった。減点されてしまう。

　ただし、接続元を何で制限するかというと、そこは/etc/hosts.allowとするのは間違いで、FW2で制限するのが正しいと思う。P4の（１）には「インターネットからのインバウンド通信は、FW2において…遮断している」とあるし、/etc/hosts.allowで制限したとしても、脆弱性がある限り突破されてしまうからだ（実際今回もN社とV社に制限していたのに突破されてしまっている）。

　問題文でさらに気になるのは「SSH接続及びHTTP接続を使った攻撃から開発用システムを保護するための措置　を75字以内で具体的に述べよ」と言っているところで、開発用サーバ（R2）に限定していないので、P3の図にある「開発用システム」の枠内にあるサーバは全て保護しなければいけないのだろう。

　そうするとやはりR2サーバの/etc/hosts.allowに書くだけでは足りない。ガチガチにやるとすれば

　R1サーバの/etc/hosts.allow　N社とV社だけに限定する

　Webサーバの/etc/hosts.allow　R1サーバだけに限定する

　アプリサーバとデータベースも同じ

かつ

　FW2で、SSHとHTTPの接続元をN社とV社のみに限定する

が必要になると思う。 

午後1はこちら。

min117.hatenablog.com