Q100 — AWS SCS-C02 第1章
第 100/100 問 | ← 第1章
ある企業は、Application Load Balancer(ALB)の背後で実行されるWebベースのアプリケーションを保有しています。このアプリケーションは、多数の失敗したログイン試行を生む認証情報詰め込み攻撃(credential stuffing attack)を受けています。攻撃は多数のIPアドレスから発生しており、ログイン試行には既知のモバイルデバイスエミュレータのユーザーエージェント文字列が使用されています。 セキュリティエンジニアは、この認証情報詰め込み攻撃を緩和するソリューションを実装する必要があります。ただし、正当なユーザーによるアプリケーションへのログインは引き続き許可しなければなりません。 これらの要件を満たすソリューションはどれですか?
- A. 指定されたユーザーエージェント文字列を含むログイン試行に反応するAmazon CloudWatchアラームを作成します。アラームにAmazon Simple Notification Service(Amazon SNS)トピックを追加します。
- B. ALBの着信セキュリティグループを変更し、攻撃に関与しているIPアドレスからのトラフィックを拒否します。
- C. ALB向けにAWS WAFウェブACLを作成します。デバイスエミュレータのユーザーエージェント文字列を含むリクエストをブロックするカスタムルールを作成します。 ✓
- D. ALB向けにAWS WAFウェブACLを作成します。正当なユーザーエージェント文字列からのリクエストを許可するカスタムルールを作成します。
正解: C. ALB向けにAWS WAFウェブACLを作成します。デバイスエミュレータのユーザーエージェント文字列を含むリクエストをブロックするカスタムルールを作成します。
解説
AWS WAFのルール設定では、特定のHTTPヘッダー(例:User-Agent)に基づくリクエストフィルタリングが可能です。本問では、攻撃の特徴として特定のUser-Agentが使用されているため、AWS WAFのカスタムルールで該当User-Agentを直接ブロックすることで、攻撃を効果的に遮断しつつ、他の正当なリクエストへの影響を最小限に抑えることができます。選択肢Cは、既知の悪意のある特徴(User-Agent)に対してAWS WAFのブロッキング機能を活用しており、IPリストの管理や手動対応を必要とせず、認証情報詰め込み攻撃の効率的な緩和を実現します。選択肢Aはアラートのみで能動的防御がなく、選択肢BはIPが分散しているため不適切、選択肢Dの許可リスト方式は過剰な広範囲または保守負荷が高くなる可能性があります。AWSのセキュリティベストプラクティスでは、WAFによるリクエスト特徴に基づく攻撃ブロッキングが推奨されています。