情報処理安全確保支援士過去問題 平成29年秋期 午後Ⅰ 問1

⇄問題PDFと解説を画面2分割で開く⇱問題PDF

設問1

解答入力欄

解答例・解答の要点

解説

ファイルに何らかの変更が加えられると、その時点のシステム時刻に基づいてファイルの更新日時が自動的に変更されます。この更新日時には、ファイルが最後に書き換えられた正確な時刻が記録されており、ランサムウェアXによりファイルが暗号化されたタイミングも、この更新日時に反映されていることになります。ファイルの更新日時を解析することで、暗号化が行われた時刻を特定し、出荷指示ファイルのタイムライン作成に活用することができます。

したがって解答は「イ」です。
  • アクセス日時はファイルにアクセスした日時です。暗号化の際にも更新されますが、その後、出荷指示ファイルはAアプリで読込みエラーが発生した際にもアクセスしており、少なくともその際のアクセス日時が保存されています。このためタイムラインの作成に使用することはできません。
  • 正しい。
  • ランサムウェアXは、ファイルを削除するものではないので不適切です。
  • ランサムウェアXは、ファイルを新たに作成するものではないので不適切です。
∴イ:更新日時

設問2

解答入力欄

    • a:
    • b:
    • 営業用PCの設定:
    • ランサムウェアXの特徴:

解答例・解答の要点

    • a:
    • b:
    • バックアップ終了時刻
    • 営業用PCの設定:
      Dサーバ上の共有フォルダをネットワードライブとして割り当てる。
    • ランサムウェアXの特徴:
      ネットワークドライブ上のファイルも暗号化の対象となる。
    • DサーバとGサーバのファイルの暗号化
  • 解説

    • aについて〕
      空欄には、invoice.fdp.exe を表示上 invoice.exe.pdf と表示する制御文字について問われています。制御文字として使われるの「ア:BOM」「ウ:CRLF」「オ:RLO」です。

      BOMはバイトオーダーマークの略で、UTF-8/UTF-16などのUnicode符号化方式のテキストファイルの先頭につけて、その文字コードの格納方式(エンディアン)を識別するためのデータです。例えば、UTF-8ではビッグエンディアンは0xFE 0xFF、リトルエンディアンは0xFF 0xFEが先頭に付与されます(省略可)。

      CRLFは、キャリッジリターン(CR:0x13)とラインフィード(LF:0x10)という、改行のための制御文字をまとめて表記したものです。

      RLOはRight-to-Left Overrideの略で、文字の表示順を右から左に変える制御記号です。右から左に文字を読むアラビア語などの言語表示に対応するものです。RLOを使用すると以降の文字は右から左に表示されます。
      pm11_1.png/image-size:503×145
      これを悪用すると、実際の拡張子は.exeという実行ファイル形式であるのに、表示上の拡張子は.pdfと表示され、PDFファイルに見せかけることができます。このようにファイル名を偽装し、誤認した利用者に開かせる攻撃を、RLO攻撃と呼びます。したがって、空欄aは「オ」が正解です。

      a=オ:RLO

      bについて〕
      メールヘッダーに使われるのは「イ:Content-Type」「エ:Received」「カ:X-Mailer」です。

      Content-Type、はメール本文のメディア種別を表すもので、text/plainmultipart/mixedなどの文字列が格納されています。

      Receivedは、メールを配信する際に経由してきたサーバの情報が列挙されています。
      Received: from mail.example.com (mail.example.com [111.222.1.1]) by smtp.example.net with ESMTP id ABC12345 for ; Thu, 29 Aug 2024 12:34:56 +0900 (JST)
      X-Mailerは、差出人が使用したメールクライアントソフトの種類・バージョンなどの情報が記載されています。
      X-Mailer: Microsoft Outlook 16.0
      経由したメールサーバの情報を調べるときに参照するメールヘッダーは、Receivedフィールドです。したがって、空欄bは「エ」が正解です。

      b=エ:Received

    • 業務への影響を最小限に抑えるためには、暗号化される前にバックアップが完了しているファイルの中から、最も新しいファイルを復元することになります。このためには、ファイルの感染開始時刻より前にバックアップが終了しているファイルを選択する必要があります。ここで「バックアップの開始時刻」を基準に選ぶことは不適切です。バックアップ開始から終了までの間に暗号化が進行している可能性があり、暗号化されたファイルを誤って復元するリスクがあるためです。

      ∴バックアップ終了時刻
      pm11_2.png/image-size:555×256
    • 問題文冒頭の2段落目を読むと、B社のシステムの特徴として「B社の全てのPCは,ログオン時に(中略)Dサーバ上の共有フォルダが(中略)各PCのDドライブとして自動的に割り当てられる」とあります。

      また〔セキュリティインシデントの調査〕の中で、J氏はマルウェアの特徴について「ランサムウェアXは,アクセス可能なドライブを(中略)探し,見つけたドライブ内のファイルを暗号化して上書き保存します。内蔵ドライブ,(中略)ネットワークドライブが対象です」と述べています。

      ランサムウェアXは営業用PCに感染し、そのPCからアクセス可能なドライブ内のファイルを暗号化していきます。営業用PCのDドライブはDサーバの共有フォルダをネットワークドライブとして割り当てたものであり、営業用PCからアクセス可能なです。ランサムウェアXはネットワークドライブも対象として暗号化するため、Dサーバ自体が感染していなくても営業用PCを経由して、Dサーバの共有フォルダ内のファイルも暗号化されたと考えられます。

      結論として、Dサーバ上のファイルが暗号化された原因は、営業PCが「Dサーバ上の共有フォルダをネットワークドライブとして割り当てていたこと」、そしてランサムウェアXが「ネットワークドライブ上のファイルも暗号化の対象とする特徴を持っていたこと」にあります。

      ∴営業用PCの設定=Dサーバ上の共有フォルダをネットワードライブとして割り当てる。
       ランサムウェアXの特徴=ネットワークドライブ上のファイルも暗号化の対象となる。

    • 〔セキュリティインシデントの調査〕の中で、J氏はマルウェアの特徴について「ランサムウェアXは,アクセス可能なドライブをドライブレターのアルファベット順に探し,見つけたドライブ内のファイルを暗号化して上書き保存します」と述べています。

      営業PCには内蔵ドライブ(明記されていませんが、タイムラインを見るとDより前なので仮にCドライブとします)とネットワークドライブのDドライブ、Gドライブがマウントされています。ランサムウェアXが暗号化を行う順序は、ドライブレターのアルファベット順なので「C→D→G」となります。したがって、営業所PC05上でランサムウェアXが起動した直後に、営業所PC05をネットワークから切り離することができれば、Dドライブ、Gドライブ内のファイルはランサムウェアXに暗号化されずに済んだ可能性があります。

      ∴DサーバとGサーバのファイルの暗号化

    設問3

    解答入力欄

      • c:
      • d:
      • e:
      • f:
      • g:
      • h:

    解答例・解答の要点

    • c:
    • d:
    • e:
    • f:不可
    • g:
    • h:不可
    • 復号に必要な共通鍵や秘密鍵が検体に含まれていないため
    • PC内で一時的に作成されたメモリ上の共通鍵が消えてしまうため
  • 解説

    • 図2の業務内容から各ロールのファイルへの最小権限を考えます。作成済ファイルに対する権限なので、ファイルを作成する"登録"は除外して考えることになります。
      出荷担当者
      図2の4.に「(Dサーバ上の)出荷指示ファイルは,出荷担当者が内容の確認と更新を行うことができる」とあるので、読込みと書込みの権限が必要とわかります
      営業担当者・本社スタッフ
      図2の7.に「営業担当者及び本社スタッフが,Dドライブ上の出荷指示ファイルを閲覧し,最新の出荷情報を確認する。ただし,内容を確認するだけで更新しない」とあるので、読込み権限のみで足ります。
      以上より、全グループで読込み権限は必要ですが、書込み権限は出荷担当者グループのみ必要です。見直し後のアクセス権限設定をまとめると以下のようになります。
      pm11_3.png/image-size:263×133
      cdeg=可
       fh=不可

    • 共通鍵暗号と公開鍵暗号を組み合わせた使うタイプの挙動は次の通りです。
      • PCのメモリ上に一時的に作成する共通鍵で暗号化を行う
      • 共通鍵は、プログラム内にハードコードされた公開鍵で暗号化する。
        ※明記されてはいませんが、交渉成立後に復号できるようにするためどこかに保存しておく
      • メモリ上の共通鍵を消去する
      ファイルを復号するには共通鍵が必要ですが、共通鍵は公開鍵で暗号化されています。この暗号化された共通鍵を復号するには、公開鍵に対応する秘密鍵が必要です。しかし、秘密鍵は攻撃者の元にあるため共通鍵を復号することは困難です。また、暗号化完了後はメモリから共通鍵を取得することも無理です。このため、検体を解析したとしても、共通鍵を得ることができず、結果として暗号化されたファイルを復号することも難しくなります。

      ∴復号に必要な共通鍵や秘密鍵が検体に含まれていないため

    • 〔被害拡大防止策の実施〕の3段落目において、J氏はランサムウェアの暗号化方法について述べています。この中で「ランサムウェアXの場合,暗号化に使用した共通鍵をメモリ上から消去しない」という特徴を述べています。

      暗号化に使用した共通鍵の情報はメモリ内に残されています。ハイバネーションは、メモリの情報をハードディスクに退避したまま電源OFF状態にできる機能なので、PCを休止状態で保管しておけば、セキュリティベンダーから復元ツールが提供された際に復元できる可能性が高くなります。しかし、PCをシャットダウンしてしまうとメモリ内容もリセットされるので、復元に必要な共通鍵の情報も消えてしまい復元が困難となります。これが、シャットダウンにより復元できる可能性が低くなる原因です。

      ∴PC内で一時的に作成されたメモリ上の共通鍵が消えてしまうため

      【補足】
      感染後の対応として、感染を広げないように感染したPCの電源を落としてしまいたくなるところですが、感染後の対策としては解答のようにPCの電源は落とさずに、ネットワークから速やかに切り離す(LANケーブルを抜く、WiFiを切る)のがよいとされています。その後にランサムウェアの復号ツールが開発され復号に成功した例があります。しかし、ツールが開発されても、再起動したPCには復号不可となっているため、復号したい場合は再起動せずツールができるのを辛抱強く待つしかありません。

    設問4

    解答入力欄

    解答例・解答の要点

    • 共有フォルダのバックアップデータも暗号化されてしまい復元できなくなる。

    解説

    ランサムウェアXは、利用者がログインした一般利用者の権限でファイルにアクセスしていました。問題文冒頭に記載されているように、バックアップファイルは一般利用者権限ではアクセスできない領域に保存されるため、バックアップファイルは暗号化されず、今回はGサーバ上のバックアップファイルを使って復元することができました。

    しかし、ランサムウェアYは「他のサーバやPCのOSの脆弱性を悪用し,管理者権限で次々と感染を広める」特性をもっています。このため、ランサムウェアXでは被害を免れたバックアップファイルについても、管理者権限でのアクセスにより暗号化されてしまうおそれがあります。バックアップファイルが暗号化されてしまった場合、今回のような迅速な復元をすることはできません(復元は外部媒体のバックアップを使用する必要があります)。これが、ランサムウェアXでは起きないが、ランサムウェアYでは起きる被害です。

    ∴共有フォルダのバックアップデータも暗号化されてしまい復元できなくなる。
    © 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

    Pagetop