ファイナンス、情報通信技術のスキル・アグリゲーション・サイト
情報処理推進機構(IPA)が実施する情報処理技術者試験の「情報セキュリティスペシャリスト試験」(SC)午後Ⅰ試験・午後Ⅱ試験の過去の出題から、情報セキュリティへの考えを深めていきます。
過去の試験問題の全文と解答例、講評が、 https://www.jitec.ipa.go.jp
試験対策以外にも、情報セキュリティ学習をさらに進めるためのきっかけとなれば、と思います。
N 社では,本社にインターネット接続システムを導入し,電子メール (以下,メールという),Web サイトの閲覧などに利用している。ドメイン名として n-sha.co.jp を使用しており,メールアドレスには,表1に示すものがある。
表1 N 社のメールアドレスと概要
図1 N 社の傭報システムのネットワ一ク構成
表2 主な機器の概要
機器名 概要 FW
- ・ ステートフルバケットインスベクショシ型のパケットフィルタリ ング機能,アドレス変換機能並ぴに通信の許可及ぴ拒否のログを取得する機能がある。
DNS サーバ 公開 Web サーバ
- ・ コンテンツ公開機能及びコンテンツ更新機能がある。コンテンツ更新は,営業部広報グル一プのメンパが PC から SSH を用いて行う。
外部メールサーバ
表3 サーバ及ぴ PC に関する N 社のウイルス対策の概要
図2 HTTP ウイルススキャンの結果と通知方法
- (1) 結果
SMTP ウイルススキャンでは,メールがウイルススキャンできるかどうかを判定する。もし,ウイルススキャンができる状態であれぱ,ウイルススキャンを行う。例えぱ,暗号化されたファイルは,スキャン不能と判定される。判定結果は,次のいずれかである。
- ・ 検出
- ・ 不検出
- ・ スキャン不能
- 検出の場合は,メールを破棄し,結果をログに記録する。
(2) 結果の通知条件及ぴ通知方法
検出の墳合は,結果を次の方法で通知する。
・ 次のメールアドレス宛ての,ウイルススキャンしたメールのへッダ部を添付した通知メールの送信 - 不検出及びスキャン不能の場合は,結果を通知しない設定としている。
図3 SMTP ウイルススキャンの結果と通知方法
図4 初期設定用ネットワ一クの設置案(抜粋)
表4 初期設定用 FW のフィルタリングル一ル
項番 送信元 宛先 サービス 動作 ログ 1 初期設定用ネットワーク プロキシサーバ 代替 HTTP 許可 取得する 2 全て 全て 全て 拒否 取得しない 注意1 項番が小さいルールから順に,最初にー致したルールが適用される。
注意2 代替 HTTP のポート番号は,8080 である。
E 主任は,PC の初期設定方法を考慮すると,プロキシサーバの URL フィルタリング機能に,①初期設定用ネットワ一クからの接統サイトを制限する設定を追加した方がよいと指摘した。F さんは,その設定案を作成して E 主任に提出した。
- (1) G さんヘのヒアリング結果
- ・ 4月28日 18時,業務を終了し,PC を個人ロッカ一にしまった。
- ・ 5月 7日 8時40分,PC を個人ロッカーから取り出し,管理本部 LAN に接続し,起動した。
- ・ 5月 7日 8時45分,PC 上のメールソフトにメ一ルを受信した。
- ・ 5月 7日 9時30分,広報問合せ用メールアドレス宛てのメールを開いた。そのメ一ルには,パスワードを用いて暗号化されたファイルが添付されており,別のメールに書かれていたパスワードを使用してその添付ファイルを開いた。
- ・ 5月 7日 11時,同じ添付ファイルを開くと,PC のウイルス対策ソフトが,マルウェア X を検出した。
- (2) マルウェア X に関する情報
- ・ 調査の時点では,W 社の Web サイトに,マルウェア X に闔する次の情報が掲載されていた。
- - ダウンローダ型マルウェアであり,マルウェア X 中に URL が保持されている。
- - マルウェア X 中の URL にアクセスすると,中継サーバと呼ばれるインターネット上のサーバを経由して,攻撃者がインターネット上に用意した C&C(Comand&Control)サ一バに接続される。
マルウェア X 中の URL の例を次に示す。
http://www .example .com .server .example .net /cmd /command .html - - 上記 URL 中の中継サーバ名を次に示す。
server.example .net
マルウェア X 中の URL にアクセスすると,中継サーバが,攻撃者の用意した C&C サーバに次の URL で接続する。
http://www .example .com /cmd /command .html - - W 社の駆除ツールを適用すると,マルウェア X を駆除し,感染によって改ざんされた OS の設定を復元する。
- - 駆除ツールは,W 社の Web サーバからダウンロードできる。
- (3) G さんの PC に関するウイルス対策ソフトの調査
- ・ 5月 3日 10時,W 社では,マルウェア X に対応したウイルス定義ファイルをリリースした。
- ・ 5月 7日 10時40分,全てのウイルス定義ファイルをダウンロードし,更新した。
- (4) 対処
- ・ G さんの PC を預かり,他の PC やサーバヘのネットワークを経由した感染を防ぐために,②先頃,改ざんされた N 社の環境を活用し,マルウェア X を駆除した。駆除後,PC を G さんに返却した。
- ・ G さんに,マルウェア X の感染の原因と考えられるメールの削除を指示した。
図5 調査結果と感染への対処
次は,E 主任と F さんが,中継サーバを経由するアクセスを防止する対策について検討した際の会話である。
E 主 任 : まず,当社のプロキシサーバと,マルウェア X の URL 中の中継サーバを経由するアクセスについて検討しましょう。 F さ ん : この中継サーバは,プロキシサーバの URL フィルタリング回避の手段として使われています。 E 主 任 : そのとおりですね〟 他のマルウェアが利用する可能性も排除するために,この中継サーバを経由する全てのアクセスを遮断することはできますか。 F さ ん : はい,③プロキシサーバのサーバ管理者登録ブラックリストに設定を追加することによって,遮断できます。 E 主 任 : 今後,別の中継サーバを経由することも考えられます。プロキシサーバに設定を追加する業務手順を作成する必要がありますね。 F さ ん : はい,分かりました。 F さんは,プロキシサーバに設定を追加した。
E 主任は,図5の (4)では,G さん宛てのメールだけが対象であったので,追加の調査と対処が必要であると指摘した。指摘を受けた F さんは ④メールについて追加の調査と対処を行った。
さらに,E 主任は,パスワードを用いて暗号化されたファイルを添付したメールがインターネットから届いた場合に,メールの受信者に注意を喚起する必要があると指摘した。指摘を受け,F さんは,⑤図3中の結果の通知条件を変更した。
図6 ウイルス対策集中管理ソフトの機能概要
図7 ウイルス定義ファイルのダウンロード元の見直し案
E 主任と F さんは,ウイルス定義ファイル更新遅延についての対策案を,D 部長に提出した。D 部長は,対策案を承認した上で,ウイルス感染防止のためのウイルス対策集中管理ソフトの活用方法も考えるよう指示した。E 主任と F さんは,⑥ D 長の指示に従って活用方法を検討し,D 部長に報告した。D 部長は,活用方法も承認した。
図8 入力中の Web フォ一ム及ぴ遣絡用メ一ルアドレス宛ての受付通知メ一ル
H さんは,⑦採用問合せ用 Web フォームを悪用されるおそれがあるので,少なくとも図8の受付通知メールを,1~17 行目だけにすべきと指摘した。さらに,細エした連絡用メールアドレスを入力された場合の対策も必要であることを指摘した。
F さんと H さんは,レビューを続けた。次は,採用グループのメンバのメールアドレス宛てメールについての会話である。
図9 H さんが示した入力内容
F さ ん : メール送信プログラム中に,図10の処理を追加する案で対処します。
(省略)
//大文字と小文字の区別をせずに “http://",“https://" を削除する。
String resultMailBody = mailbody
.replaceAll ("(?i)https?://",""); (省略)
注記1 replaceAll は,第1引数に指定された正規表現にマッチする全ての文字列を,第2引数に指定された文字列に置換するメソッドである。
注記2 “(?i)" は,以降の正規表現を大文字と小文字の区別をせずにマッチさせるための正規表現である。
注記3 “https?" は,“http” と "https” にマッチする正規表現である。
図10 F さんが作成した処理追加案
H さ ん : 図10は,対処として不完全です。例えば,図10の処理では,図11に示す文字列を入力すると,クリック可能な URL として表示されてしまいます。 f ://www.example.ne.jp/~kojin /rirekisho.pdf 図11 H さんが示した入カ文字列
設問1 〔情報システムの構成〕 について, (1)~(3) に答えよ。
(1) 表2 中の a に入れる適切な字句を, 英字 8 字以内で答えよ。
設問 | 解答例・解答の要点 | ||
設問1 | (1) | a | DNSSEC |
(2) 表2 中の b , c に入れる適切な字句を, それぞれ 10 字以内で答えよ。
設問 | 解答例・解答の要点 | ||
設問1 | (2) | b | オープン |
c | エンベロープ |
(3) 表2 中の d に入れる適切なドメイン名を答えよ。
設問 | 解答例・解答の要点 | ||
設問1 | (3) | d | n-sha.co.jp |
設問2 図3 中の e に入れる内容を 15 字以内で答えよ。
設問 | 解答例・解答の要点 | |
設問2 | e | 送信者メールアドレス |
設問3 本文中の 下線① について, 設定内容を 45 字以内で具体的に述ベよ。
設問 | 解答例・解答の要点 |
設問3 | 脆弱性修正プログラム及びウイルス定義ファイルを提供するサイトに制限する。 |
設問4 〔休み明けの PC のウイルス感染〕 について, (1)~(4) に答えよ。
(1) 図5 中の 下線② について, 改善された N 社の環境を活用して実施した内容を 45 字以内で具体的に述ベよ。
設問 | 解答例・解答の要点 | |
設問4 | (1) | 初期設定用ネットワークに接続し,W 社の駆除ツールをダウンロードして適用 |
(2) 本文中の 下線③ について, 追加する設定の内容を 30 字以内で其体的に述べよ。
設問 | 解答例・解答の要点 | |
設問4 | (2) | 中継サーバのサーバ名を部分一致でマッチさせる。 |
(3) 本文中の 下線④ について, 調査した内容と対処した内容を併せて 55 字以内で述べよ。
設問 | 解答例・解答の要点 | |
設問4 | (3) | G さん以外の広報グループのメンバに届いたメールを調査し,マルウェア X を含むメールを削除した。 |
(4) 本文中の 下線⑤ について, 変更した内容を 25 字以内で述ベよ。
設問 | 解答例・解答の要点 | |
設問4 | (4) | スキャン不能の場合も通知するようにした。 |
設問5 本文中の 下線⑥ について,E 主任と F さんが検討した活用方法を二つ挙げ,それぞれ 50 字以内で述べよ。
設問 | 解答例・解答の要点 | |
設問5 |
① ② |
・ 1 週間を超えてフルスキャンが実行されない PC を指定して,フルスキャンを実行させる。 ・ ウイルス定義ファイルが更新されない PC を指定して,ウイルス定義ファイルを更新させる。 ・ アップロードされるウイルス感染情報を基に感染した PC を特定し,ウイルスを駆除する。 |
設問6 〔 Web フォームについての検討〕 について, (1), (2) に答えよ。
(1) 本文中の 下線⑦ について, 連絡用メールアドレスとお問合せ内容に何を入力すれば悪用することができるか。それぞれ 20 字以内で答えよ。
設問 | 解答例・解答の要点 | ||
設問6 | (1) | 連絡用メールアドレス | 攻撃対象のメールアドレス |
お問合せ内容 | 誘導する Web サイトの URL |
(2) 図11 中の f に入れる適切な文字列を一つ挙げ, 英字及ぴ記号 15 字以内で答えよ。
設問 | 解答例・解答の要点 | ||
設問6 | (2) | f | ・ hhttp://ttp |
・ hhttp://ttps | |||
・ hhttps://ttp | |||
・ hhttps://ttps |