ファイナンス、情報通信技術のスキル・アグリゲーション・サイト
情報処理推進機構(IPA)が実施する情報処理技術者試験の「情報セキュリティスペシャリスト試験」(SC)午後Ⅰ試験・午後Ⅱ試験の過去の出題から、情報セキュリティへの考えを深めていきます。
過去の試験問題の全文と解答例、講評が、 https://www.jitec.ipa.go.jp
試験対策以外にも、情報セキュリティ学習をさらに進めるためのきっかけとなれば、と思います。
図1 L 社のネットワーク債成(概要)
表1 主なサ一バとその概要
表2 FW のフィルタリングル一ル
図2 PC に関する環境(抜粋)
M 部長から指示を受け,N さんが確認したところ,送信元 IP アドレスは間違いなく L 社のものであった。また,①この IP アドレスから当該 C&C サーバへの通信が 発生していたことも確認できた。送信日時は日本時聞で 4月16日 16時13分であった。これらの確認結果を基に,セキュリティ情報共有団体に更なる情報提供を依頼したところ,当該 C&C サーバに送信された情報が提供された。その中には,L 社のファイル配信サーバのホスト名,IT 部の V さんに付与された当該サーパの利用者 ID 及 びパスワードが含まれていた。
N さんは,調査結果を M 部長に報告し,次の緊急対応を実施した。
- ・ ファイル配信サーバ上での当該利用者 ID の無効化
- ・ FW による,当該 C&C サーバへの通信の遮断
N さんは M 部長の指示で,漏えい元を特定するために,C&C サーバヘの通信の送信元を調査した。その結果を図3に示す。
- 1. 提供された送信元 IP アドレスは,L 社のネットワーク構成から分かるように, a のものであった。
- 2. a のログから,当該 C&C サーバと a 経由で通信を行っていた機器の IP アドレスを特定したところ, b のものであった。
- 3. b のログから, 当該 C&C サーバに b 経由で HTTP 接続を行っていた機器の IP アドレス,及ぴ b 接続時の認証に使用した利用者 ID が特定できた。
- 4. 認証に使用された利用者 ID は,V さんに付与されたものであった。 5. DHCP サーバのログから,上記 3 で特定した IP アドレスが割り当てられていた機器の c が特定できた。 6,IT 資産管理サーバに保管されている情報によると,当該 c をもつ機器は,V さんに貸与されている管理番号 0019 の PC であった。 7. V さんは,管理者 LAN に接続した当鹸 PC から,ファイル配信サーパを含む複数のサーバの保守・運用を行っている。 8. V さんは,これら保守・運用対象のサーバにアクセスするための利用者 D 及びパスワードを,当鼓 PC に保管していなかった。
図3 C&C サ一バヘの通信の送信元の調査結果
N さんは M 部長の指示で,当該 PC に対するディジ夕ルフォレンジックスによる調査を,セキュリティ専門会社に依頼した。セキュリ ティ専門会社による調査報告を図4に示す。
- ・ 当該 PC には,次の3積類のマルウェアに感染している痕跡が践っていた。
- - ダウンローダ
- - キーロガー
- - リモートから制御できるトロイの木馬
- ・ これらのマルマェアは いずれも自ら感染を広げるタイプではない。
- ・ マルウェア内に C&C サーパの FQDN が記述され,C&C サーバヘの接続に使用されていた。五つの異なる FQDN が確認できた。
- ・ 各マルウェアの C&C サーバとの通信は,次の手鵬で行われていた。
- 1. ②プロキシサーバを利用せずに C&C サーバへの接続を試みる。
- 2. 上記 1 が失敗した場合,Web プラウザのプロキシ設定を基に,プロキシサ一パを利用して接続を試みる。
- 3. 上記 2 が失敗した場合,PC に保管されている利用者 ID 及びパスワードを窃取して認証突破を試みる。
- 4. 上記 3 が失敗した場合,ランダムな時間間隔で上記 2 だけを繰り返す。
- ・ 最初の感染は 3月28日 13時7分であると考えられる。
- ・ この時刻よりも前にエクスプロイトやマルウェアをダウンロードした痕跡は残っていなかった。
- ・ この時刻よりも後に複数のマルウェアをダウンロードした痕跡が残っていた。
- ・ マルウェアが C&C サーバ にアップロードした情報の痕跡は残っていなかった。
- ・ これらのマルウェアは 5月14日時点で L 社が使用していた AV でみ検知されなかった。
図4 セキュリティ専門会社による調査報告(抜粋)
N さんは,M 部長に図4の調査報告を説明した。M 部長は,この調査によって明らかになったマルウェアの特徴から,IP アドレスを基にした FW による通信の遮断では,C&C サーバヘの通信を完全には遮断できない可能性があることを指摘した。N さんは,M 部長の指摘に基づき,③この調査で明らかになった C&C サーパヘの通信方法を考盧した,新たな遮断方法を検討し,M 部長の承認を得た上で実施した。
N さんは,影響範囲及びマルウェア感染経路を特定するための追加調査を立案し,M 部長から実行承認を得た。追加調査の内容を図5に示す。
- 追加調査 1. V さんの PC 以外の PC 及びサーバに対する,図4で報告されたマルウェアの感染状況調査
- 追加調査 2. ④最初のマルウェア感染にファイル配信サーバから配信されたファイルの調査
- 追加調査 3. 最初のマルウェア感染後に V さんの利用者 ID でアクセスしたサーバの特定と,アクセス内容の調査
- 追加調査 4. 最初のマルウェア感染前に V さんが受け取った電子メールの調査
図5 影響範囲及ぴマルウェア感染経路を特定するための追加調査
L 社では,AV ベンダとの間で,マルウェアの調査及び対応するウイ ルス定義ファイルの作成を依頼できる契約を結んでいる。N さんは,図4で報告された3種類のマルウェアについて,対応するウイルス定義ファイルの作成を AV ベンダに依頼し,そのウイルス定義ファイルを用いて追加調査 1 を実施した,その結果,L 社内の他の PC 及びサーバでは,これらのマルウェアの感染は確認されなかった。
N さんは,追加調査 2 として,ファイル配信サーバ上に保存されている操作ログ,アプリケーションプロダラムのログ及び配信ファイルのアーカイブを調査した。ファイル配信サーバから 3月28日以降に配信されたファイルは,全て N さんが V さんに指示して配信したものであることが確認できた。
N さんは,追加調査 3 として,L 社内のサーバのうち,V さんの利用者 ID でアクセス可能な全てのサーバ上のアクセスログを調査し,最初のマルウェア感染後に V さんの利用者 ID で当該 PC からアクセスされたサーバを特定した。当該サーバとして,ファイル配信サーバ以外に,NTP サーバ,DHCP サーバ兼内部 DNS サーバ及びプロキシサーバの3台が確認できた。これら3台のサーバ上の操作ログを更に詳細に確認したところ,各サーバに対する V さんの利用者 ID での操作は,全て N さんの指示に基づく保守・運用作業てあり,不正な操作が行われた形跡はなかった。これら3台のサーバは,L 社ネットワーク構成において重要であり,サービス停止ができないものであった,N さんは,これらのサーバ上て不正な操作が行われた形跡がなかったこと及びサービス停止ができないことから,⑤これらのサーバ上で実行可能で効果の見込まれる対策を実施した。
N さんは,追加調査 4 として,3月1日から 28日までに V さんが受け取った電子メールを調査するとともに,V さんヘの聞き取りを実施し。その結果,V さんが,3月28日に,インターネットファックスサービスを装った電子メールを受け取り,添付ファイルを開いていたことが判明した。AV ベンダに調査を依頼した結果,このファイルはダウンローダをインストールすることが分かった。
N さんは,これらの結果を M 部長に報告した。
M 部長は,追加調査 3 について,⑥これら3台のサーバ上のログに対する改ざんの痕跡が残っていないことを確認したか,N さんに尋ねた。N さんは,ログの改ざんを想定した調査は行っていなかったことを報告し,ログの再調査を実施した。再調査の結果,これら3台のサーバ上のログに対する改ざんの痕跡は残っていなかった。
設問1 〔初期対応〕 について,(1),(2) に答えよ。
(1) 本文中の 下線① について,確認の具体的な方法を,30 字以内で述ベよ。
設問 | 解答例・解答の要点 | |
設問1 | (1) | FW のログで当該通信の記録を確認する。 |
(2) 図3 中の a ~ c に入れる適切な字句を,それぞれ 10 字以内で答えよ。
設問 | 解答例・解答の要点 | ||
設問1 | (2) | a | FW |
b | プロキシサーバ | ||
c | MAC アドレス |
設問2 〔詳細調査と暫定対応〕 について,(1),(2) に答えよ。
(1) 図4 中の 下線② の試みは,L 社の PC からでは必ず失敗するが,FW のログには記録されない。その理由を 35 字以内で述ペよ。
設問 | 解答例・解答の要点 | |
設問2 | (1) | DNS による名前解決ができず,TCP/IP 接続要求が出ないから |
(2) 本文中の 下線③ について,遮断の具体的な方法を 40 字以内で述べよ。
設問 | 解答例・解答の要点 | |
設問2 | (2) | プロキシサーバで C&C サーバへの通信の URL をブラックリストに設定する。 |
設問3 〔追加調査〕 について,(1)~(3) に答えよ。
(1) 図5 中の 下線④ の調査は,どのような攻撃を想定したものか。想定した攻撃を 30 字以内で述ベよ。
設問 | 解答例・解答の要点 | |
設問3 | (1) | ファイル配信サーバからマルウェアを拡散する攻撃 |
(2) 本文中の 下線⑤ について,これら 3 台のサーパ上で実施すぺき対策を 20 字以内で述ベよ。
設問 | 解答例・解答の要点 | |
設問3 | (2) | V さんの利用者 ID の無効化 |
(3) 本文中の 下線⑥ について,ログの改ざんの痕跡を確認する方法を 30 字以内で述ベよ。
設問 | 解答例・解答の要点 | |
設問3 | (3) | ログ管理サーバに保存されているログとの比較 |