情報処理安全確保支援士過去問題 令和3年秋期 午後Ⅰ 問3
⇄問題文と設問を画面2分割で開く⇱問題PDF出題趣旨
組織内のサーバは,インターネットから直接攻撃できないという理由から,DMZのサーバと比較し,情報セキュリティ対策が不十分なままになっていることがあるが,そのことによってセキュリティインシデントの被害が拡大することも少なくない。本問では,組織内のPCのマルウェア感染をきっかけとした,情報漏えいの有無の調査並びにファイアウォール及びサーバ設定の見直しを題材に,調査能力及びサーバの設計能力を問う。
設問1
- LANから切り離す。
- ディスクイメージ
- a: 最新のマルウェア定義ファイルを保存したDVD-Rの使用
- b: マルウェア定義ファイルの更新
- c: マルウェア対策ソフトの画面の操作
- Q社内の全てのPC及びサーバからのアクセス
- PCがマルウェアに感染した疑いが発覚したしたときは、初動対応が重要になります。典型例として以下の対応があります。
- 当該PCをLAN・Wi-Fiなどネットワークから直ちに切り離す
- 勝手に電源OFF・再起動・初期化をせず、現状をできるだけ保つ
- 情報システム部門やCSIRTなど、所定の連絡先に速やかに報告する
- 画面の表示内容や不審な挙動、実行した操作などをメモやスクリーンショットで記録する
- 指示に従い、ディスクイメージ取得やマルウェアスキャンなどの証拠保全・調査作業を行う
そのため、感染拡大防止のために最初に行うべき対応は、当該PCとネットワークとの接続を物理的または論理的に切り離し、他の機器との通信経路を断つことです。有線接続であればPCやスイッチからLANケーブルを抜く、無線接続であればOSの設定画面からWi-Fi機能をオフにする、などが具体的な作業内容となります。対象物に電源を供給し続けることで明白な被害(破壊等)の拡大またはそのおそれが見られるときは、電源供給を停止する必要がありますが、そうではなく不要な通信のみ避けたい場合は、電源の供給を継続したままネットワークから切り離すことになります。
以上より、問われている初期対応として適切なのは、PC-GをLANから切り離すことであり、解答は「LANから切り離す」となります。
∴LANから切り離す。 - ディジタルフォレンジックスを行うために、PCから何を取得しておくべきかを問われています。ディジタルフォレンジックスは、インシデントの原因や影響範囲を明らかにするために、電磁的記録な証拠を改変しない形で収集し、保存し、分析する手法です。
PC-Gがマルウェアに感染している可能性がある場合、後から痕跡を追えるように、当時の記憶装置の状態をそのまま保全する必要があります。証拠保全ガイドライン第10版によれば、電磁的記録の取得とは「電磁的証拠を物理複製、論理複製またはイメージ取得すること」とされており、具体的にはPCであればハードディスクやSSDの内容をセクタ単位で丸ごと複製したデータ(ディスクイメージ)を作成します。ディスクイメージを取得しておけば、調査は原本ではなく複製に対して実施でき、証拠性も保ちやすくなります。
∴ディスクイメージ - 〔abcについて〕
PC-Gと貸与PC全体について、フルスキャンの前に何をするかを、本文の時系列から判断する問題です。空欄bは両者で共通です。
本文には、マルウェア定義ファイルはPCでは起動時及び毎朝9時に自動更新されるとともに、手動更新として画面操作による更新と、別PCでダウンロードしてDVD-Rで更新する方法があると書かれています。ここで決定的なのは、図3に説明があるように、マルウェアXに対応した定義ファイルが12月9日10時にリリースされた点です。時系列をまとめると次のようになります。- 12月9日 起動時及び9時
- マルウェア定義ファイルが更新される
- 12月9日 10時
- マルウェアXに対応したマルウェア定義ファイルが更新される
- 12月9日 10時~
- Eさんが週次アクセスログ調査でマルウェア感染を検知する
本文ではマルウェア定義ファイルを手動更新する方法として、次の2つが記載されています。- マルウェア対策ソフトの画面の操作による更新
- 別PCでダウンロードしたファイルを保存したDVD-Rを用いた更新
∴a=最新のマルウェア定義ファイルを保存したDVD-Rの使用
b=マルウェア定義ファイルの更新
c=マルウェア対策ソフトの画面の操作 - 図3(4)では、これまでの調査としてPC-Gからのアクセスだけを過去3か月分確認し、Cリスト(マルウェアが接続先として持つC&CサーバのURL一覧)中のURLへのアクセスが1件あったものの、URLフィルタリングによって拒否されていたことがわかっています。
PC-GがマルウェアX感染の動作を示したのが12月6日、マルウェア定義ファイルのマルウェアXが追加されたのが12月9日ですから、PC-G以外の他のPCも感染していることが想定されます。もしPC-G以外にも感染が広がっていれば、別のPCやサーバからも同じURLへのアクセスが試みられていた可能性があり、PC-Gだけのログ調査では、PC-G以外のマルウェア感染を見逃してしまうことになります。したがって、PC・サーバが送信元であるインターネット通信(プロキシサーバへのアクセス)のすべてを調査する必要があります。
∴Q社内の全てのPC及びサーバからのアクセス
設問2
- ①項番: 3
- ①送信元: 総務部LAN,営業部LAN
- ②項番: 4
- ②送信元: 技術部LAN
- d: V社配布サイトのURL
- e: 全て
- 下線④の前文では、Fサーバ1を総務部員と営業部員、Fサーバ2を技術部員に使い分ける運用に変更しています。表2のフィルタリングルールの項番3・4を見ると、Fサーバ1・Fサーバ2ともに総務部、営業務、技術部からの通信を許可する設定になっています。今回の変更により、Fサーバ1を利用するのは総務部と営業部のみ、Fサーバ2を利用するのは技術部のみに限定されます。したがって、最小制限の原則に従い、業務上不要となる通信を許可しないように変更を行う必要があります。
∴①項番:3 送信元:総務部LAN,営業部LAN
②項番:4 送信元:技術部LAN - 〔deについて〕
サーバLANからインターネットへの通信を運用上必要なものだけに限定するために、プロキシサーバのUFルール(URLフィルタリングルール)をどう設定するかが問われています。UFルールは、管理者許可リストに登録したURLへのアクセスは許可され、管理者拒否リストに登録したURLへのアクセスは拒否されます。
本文では、Fサーバ1とFサーバ2がインターネットと通信するのは、マルウェア定義ファイルを更新するときだけだと説明されています。つまり、サーバLANから外部へ通信を行う際に許可すべき通信先は、定義ファイルを提供しているV社の配布サイトのみです。これ以外の外部サイトへの通信は、運用上必要ないため遮断します。
したがって、運用上の支障なく、不要な通信を遮断するためには、管理者許可リストに「V社配布サイトのURL」、管理者拒否リストに「全て」と設定することになります。
∴d=V社配布サイトのURL
e=全て
設問3
- 登録した実行ファイルがバージョンアップされた場合
- 登録した実行ファイルのマクロとして実行されるマルウェア
- Yソフトは、許可した実行ファイルのハッシュ値を登録しておき、実行時にそのハッシュ値と一致するものだけを実行可能にする方式です。
ハッシュ値は、ファイルの内容から一意に計算される値です。実行ファイルはバージョンアップによってプログラムの内容が変わるため、同じツールであってもハッシュ値が変わります。その結果、旧バージョンのハッシュ値を登録したままだと、新バージョンは一致せず実行できなくなります。したがって、バージョンアップ時には新しいハッシュ値を登録し直すという運用上の手間が懸念されます。
∴登録した実行ファイルがバージョンアップされた場合 - Yソフトは、ハッシュ値の照合により実行ファイルの実行可否を判断する仕組みです。この仕組みにより、事前に登録されていない実行ファイルは実行できません。ここで着目する点は、Yソフトが見ている対象が実行ファイルそのものだということです。つまり、実行ファイルが登録済みで改ざんされていなければ、Yソフトはその起動を許可します。
そのため、実行ファイルではなく、登録済みの正規プログラムの動作の一部として悪意のある処理が実行される形(データファイル内への攻撃コード埋込み)は、Yソフトで止めることはできません。その代表例として、WordやExcelなどに備わるマクロ機能を悪用するマルウェアがあり、Melissaウイルス、Conceptウイルス、Emotetなどが知られています。
∴登録した実行ファイルのマクロとして実行されるマルウェア