令和6年秋期試験 午後 問1 - 解説
出題趣旨
サイバー攻撃はエンドポイントへの侵入から始まることが多い。攻撃者は,マルウェアを仕掛けた後に,より高い権限の奪取を試みたり,ほかのエンドポイントを探索したりする。そのため,エンドポイントのセキュリティ対策としてログの分析が重要になってきている。インシデント発生時に迅速に対応するためには,どのような攻撃を受けているのかをログから推測・確認する対応力が必要となる。本問では,ソフトウェア開発会社の社内システムの運用及びインシデント対応を題材として,ログを解析する能力及び技術的対策を立案する能力を問う。
サイバー攻撃はエンドポイントへの侵入から始まることが多い。攻撃者は,マルウェアを仕掛けた後に,より高い権限の奪取を試みたり,ほかのエンドポイントを探索したりする。そのため,エンドポイントのセキュリティ対策としてログの分析が重要になってきている。インシデント発生時に迅速に対応するためには,どのような攻撃を受けているのかをログから推測・確認する対応力が必要となる。本問では,ソフトウェア開発会社の社内システムの運用及びインシデント対応を題材として,ログを解析する能力及び技術的対策を立案する能力を問う。
設問1
- a: PC-C
- b: filesv
- c: ad01\user019
- d: 無効化
- 全てのドメインユーザーに対して,https://△△△.com/,https://□□□.com/及びhttps://〇〇〇.com/を管理者拒否リストに登録する。
- https://○○○.com/,https://△△△.com/又はhttps://□□□.com/に通信したL社内ホストがないか調査する。
- タスク名がinstallであるタスクが登録されているL社内ホストがないか調査する。
- マルウェア対策サービスのログから,マルウェア対策ソフトが停止したL社内ホストを検出する。
- ドメインサーバのログから,RDP接続をくり返しているL社内ホストを検出する。
- ※(8)は順不同で二つ解答
- 〔aについて〕
図4のマルウェア解析結果より、マルウェアq.ps1(PowerShellスクリプト)は、まず❶ネットワークドライブをRAR形式圧縮ファイルでWebにアップロードし、その後、❷感染したホストから他のホストへRDP(デスクトップコンピュータを遠隔操作するプロトコル)で接続し、RDP接続に成功したホストではi.ps1を実行させ、同様に感染を拡大する、という挙動をとることがわかっています。
表3のtime.csvを確認すると、マルウェアによって侵害されたおそれがあるのは、PC-A内のDドライブ(22:38:12)、\\filesvのファイル(22:42:06)、RDP接続が成功しているPC-C(23:32:51)とわかります。Dドライブとファイルサーバの参照が❶の動作、PC-Cへの接続が❷の動作に該当します。したがって、空欄a、bに入るのはファイルサーバ、PC-Cのいずれかとなります。
空欄aの機器に関しては、マルウェア感染が拡大している可能性が示唆されていて、PC-Aと同様の調査を行うとされています。表3のtime.csvを見ると、PC-Aから複数のホストに対してRDP接続を試行していますが、成功しているのは「PC-Cに対する.\administratorでのRDP接続」だけです。その他のホストへのRDP接続はすべて失敗しています。RDP接続が成功したホストだけが、続いてi.ps1を実行させられ、PC-Aと同様にマルウェア感染した可能性があると考えられるので、本文の「PC-Aからaへマルウェア感染が拡大している可能性がある」という条件に合うのはPC-Cだけです。表1より、仮想PCのホスト名は"PC-x"(xには英大文字1文字以上が入る)と定義されているため、空欄aにはそのまま「PC-C」が入ります。
∴a=PC-C - 〔bについて〕
残る空欄bにはファイルサーバのホスト名が入ります。表1より、ファイルサーバのホスト名はfilesvとわかるため、空欄bには「filesv」が当てはまります。filesvのファイルが参照された後、s.rarが作成され、△△△.comとの通信後に削除されているため、filesv上のファイルはPC-AのDドライブ上のファイルとともにWebアップロードされたと判断できます。
【補足】
"\\filesv"とはWindowsネットワーク上で共有されているファイルの位置を示すUNC(Universal Naming Convention)という記法であり、「\\」の後ろにはコンピュータ名が入ります。
∴b=filesv - 〔cについて〕
本文では「b(filesv)上のファイルのうち,アカウントcでアクセス可能なファイルがインターネットに送信されているおそれがある」とあります。ファイルサーバの利用にはドメインサーバでの認証が必要ですから、空欄cには「PC-Aにログオンしていたアカウント名」を入れることになります。
表1より、仮想PCについては次の仕様・機能があることがわかります。- 従業員が利用するアカウントはドメインユーザーであり,仮想PCのローカルアドミニストレータ権限をもっている
- 各ドメインユーザーは,割り当てられた仮想PCにだけログオンできる
次に、PC-Aからの通信について示した表5を見ると、全ての行の利用者IDが「ad01\user019」となっています。これがPC-Aにログオンしているドメインユーザーのアカウント名です。PC-Aからアクセスできるファイルサーバ上のファイルも、このアカウントでアクセス可能なファイルに限られます。したがって、空欄cに入るアカウント名は「ad01\user019」となります。
∴c=ad01\user019 - 〔dについて〕
ここでは、攻撃者に不正利用された可能性が高いアカウントad01\user019に対して、暫定対策としてどのような処置を行うべきかが問われています。
一般的に取り得る対応として、無効化、パスワードのリセット、削除などが考えられますが、本問の状況と暫定対策であることを踏まえると、「無効化」が最も適切です。
まず、「パスワードのリセット」は、今後の新たなログインを防ぐ効果はありますが、既に攻撃者が確立しているセッションや、他端末でログオン済みの状態には即時には効かない場合があります。そのため、暫定対策としては不十分な可能性があります。
次に、「削除」は一見すると強力な対策に見えますが、セキュリティ上は次のような問題があります。アカウントを削除すると、そのアカウントに紐付く設定や所有権情報はシステム内部に残る一方で、管理画面上は「削除済みユーザー」として扱われ、誰のアカウントであったかが追跡しにくくなることがあります。また、インシデント対応の過程で、どの端末でどのように利用されていたかを継続して確認したい場面でも、削除してしまうと調査や証跡管理がやりにくくなります。さらに、業務上そのアカウントを利用していた正規ユーザーがいる場合、影響範囲の確認や代替アカウントの準備を行う前に削除するのは望ましくありません。
これに対して「無効化」は、そのアカウントを使った新たなログオンを即時に禁止できる一方で、アカウント自体はディレクトリ上に残るため、ログや各種設定から利用状況を継続して調査できます。暫定対策としては、利用は止めるが、証跡や設定情報は残すことが重要であり、この要件を満たすのが無効化です。
以上より、暫定対策としてこの場面で講ずべき処置は「無効化」となります。
∴d=無効化 - ファイルの送信を防ぐためにプロキシサービスをどのように利用するのかが問われています。表1より、プロキシサービスの機能は以下の4つです。
- HTTP通信及びHTTPS通信の中継
- HTTPS通信の再暗号化
- URLフィルタリング
- 設定変更と通信ログの確認
URLフィルタリングには3つのリスト(管理者許可リスト、管理者拒否リスト、ベンダー拒否リスト)があります。管理者許可リストは記載したURLは必ず許可するためのリストなので、ファイル送信を防ぐ目的には適しません。ベンダー拒否リストは、プロキシベンダー側が提供するものであり、L社が個別にURLを追加することはできません。よって、L社が自ら危険なURLを登録してアクセスを止められるのは、管理者拒否リストです。
次に、どのURLを管理者拒否リストに登録すべきかを、表5から判断します。表5には、マルウェアに感染したPC-AがアクセスしたURLが四つ示されています。- https://○○search.com/
- https://△△△.com/
- https://□□□.com/
- https://○○○.com/
図4から、マルウェアの本体であるq.ps1の動きを確認します。- (d) 特定のディスク領域とネットワークドライブのファイルをRAR形式でまとめ,https://△△△.com/v/uplを使ってアップロードする。
- (e) 1時間おきにhttps://○○○.com/にコネクトバック通信をする。
- (f) (e)が失敗した場合,リトライ後も失敗すればhttps://□□□.com/にコネクトバック通信をし,以降は,1時間おきにhttps://□□□.com/にコネクトバック通信をする。
さらに、表1のプロキシサーバの仕様には「URLフィルタリング機能では,ドメインユーザーごとに指定されたURLへのアクセスを許可又は拒否することができる」とあります。特定ユーザーだけでなく、同様の攻撃から全社を守るには、全てのドメインユーザーを対象として、これらの悪性URLへのアクセスを拒否する設定にするのが適切です。以上より、設問の答えは次のようになります。
∴全てのドメインユーザーに対して,https://△△△.com/,https://□□□.com/及びhttps://〇〇〇.com/を管理者拒否リストに登録する。
【補足】
表5では、12/06 02:34:03の時刻にhttps://○○○.com/への通信がプロキシサーバで拒否され、アラートが発生してインシデントに気付いています。その少し前、12/06 01:34:04までは同URLへのアクセスが許可されていることから、この間のどこかのタイミングでベンダー拒否リストが更新され、https://○○○.com/がベンダー側でもブロック対象になったと推測できます。これは、L社側の管理者拒否リスト設定とは別に、ベンダー拒否リストが自動更新される仕組みであることを示しています。 - PC-AやPC-C以外に同じマルウェアに感染している可能性のあるホストを、プロキシサーバのログを用いてどのように調査するかを問われています。
本文より、q.ps1はマルウェアのC&Cサーバとの通信のために、https://△△△.com/、https://□□□.com/、https://○○○.com/の3つのURLに対してHTTPS通信を行うことがわかります。これら3つのURLにアクセスしているホストは、q.ps1が実行された疑いがあるホストと判断できます。プロキシサーバの通信ログには送信元ホストと宛先URLが記録されるので、3つのURLと通信を行ったホストがないか確認することが適切な調査内容となります。
∴https://○○○.com/,https://△△△.com/又はhttps://□□□.com/に通信したL社内ホストがないか調査する。 - (6)の調査では、プロキシサービスのログから3つのURLへの通信を手掛かりに調査します。これらのURLは図4のq.ps1の動作(d)以降、すなわちファイル送信やコネクトバック通信の段階でアクセスされるため、その段階まで進行したマルウェア感染ホストは発見できます。しかし、マルウェアに感染した直後のホストなど、q.ps1の動作(d)より前の段階、例えばマルウェア対策ソフトの停止だけが行われているようなホストも存在する可能性があります。このようなホストは、まだ上記のURLに通信していないため、上記の調査だけで検出することはできません。
そこで、より早い段階で共通して現れる痕跡を調べる必要があります。図4より、i.ps1の最初の動作(a)では"install"という名前のタスクを登録することがわかります。このタスク登録は、マルウェアが活動を開始した時点で必ず行われる処理です。したがって、L社内ホスト全体を対象に"install"というタスクが登録されていないかを調査する必要があります。
∴タスク名がinstallであるタスクが登録されているL社内ホストがないか調査する。 - まず図4で示されているマルウェアi.ps1及びq.ps1の動作を確認します。(d)~(f)に関しては、URLフィルタリング機能やベンダー拒否リストによるブロックが既に行われています。したがって、これらを新たな検知ポイントとして挙げても、設問で求めている「新たな検知の仕組み」としては不適切です。このため、その他の動作から、現在のネットワーク構成や既存の仕組みで自動検知できるものを探すことになります。
(a)、(b)のタスク登録やタスク実行、(g)のパスワード窃取、(i)のスクリプト実行などは、いずれも各ホストの内部状態の変化です。これらを網羅的に検知しようとすると、全ホストに専用の監視エージェントを導入するなど、新たな仕組みを構築する必要があります。問題文にはそのような仕組みが用意されている記述はなく、設問の意図にも合致しません。
これに対して、(c)と(h)については、問題文中に既に監視に利用できる仕組みが用意されています。
まず(c)の「マルウェア対策ソフトの停止」についてです。表1のマルウェア対策サービスの仕様には「管理用のWebページから,マルウェア対策ソフトの稼働状況の確認及びマルウェア検知のログの確認ができる」と記載されています。つまり、マルウェア対策サービスのログを参照すれば、マルウェア対策ソフトが停止したL社内ホストを一覧することができます。マルウェアは自身の活動の邪魔になるマルウェア対策ソフトを停止する挙動を取るため、「マルウェア対策ソフトが停止したホスト」を検知条件とすることで、感染ホストを自動的に洗い出すことが可能です。
次に(h)の「pingによるホスト探索とRDP接続試行」についてです。pingコマンドはICMPを用いて相手ホストが応答するかどうかを確認するためのコマンドであり、本来は疎通確認やトラブルシューティングに用いられます。しかし、攻撃者はこれを悪用して、到達可能なホストを探索することがあります。pingの発生そのものをネットワーク機器などで監視することも考えられますが、そのためには新たな監視機能の導入が必要となり、やはり問題文の範囲を超えます。一方で、問題文ではRDP接続時の認証ログがドメインサーバ上のauth.csvに記録されることが示されています。RDP接続ではドメインユーザーの認証が行われるため、その成功や失敗はauth.csvに記録されます。このログを分析することで、短時間にRDP接続を繰り返しているL社内ホストを特定できます。マルウェアは取得した認証情報を用いてRDP接続を試行しているので、「RDP接続を繰り返しているホスト」は感染の強い疑いがあるホストとみなせます。
以上から、既存の仕組みで自動的にマルウェア感染の疑いを検知できる方法として適切なのは次の2つです。- マルウェア対策サービスのログから、マルウェア対策ソフトが停止したL社内ホストを検出する。
- ドメインサーバのログから、RDP接続をくり返しているL社内ホストを検出する。
広告
設問2
- e: 仮想PCへのRDP接続に対して,IPアドレスによる接続元制限を行う
- f: L社内にDLPを導入し,ファイルの持出しを制限する
これまでのログ解析結果を踏まえて、同様のインシデントの再発を防ぐための技術的対策を2点挙げる問題です。一つはRDP接続の制御、もう一つは機密ファイルの不正持ち出し制御に関する対策を問われています。
〔eについて〕
本事例では、攻撃者はPC上で動作するマルウェアからRDP接続を行い、他のホストへの侵入と権限拡大を試みています。これは、マルウェアがRDPを用いて横方向に感染を広げようとした、いわゆるラテラルムーブメントの例です。
L社の業務手順では、従業員はシンクライアントPCから自分に割り当てられた仮想PCへRDP接続して業務を行います。また、サーバや仮想PCの保守には保守用PCからのRDP接続が利用されます。このため、RDP接続そのものを禁止してしまうと、通常業務や保守作業が成り立ちません。そこで必要なのはRDPは残しつつ、正当な接続元だけを許可する制御です。
今回の横展開は、本来は不要である仮想PC→仮想PCのRDP接続を介して行われましたから、これを禁止することが考えられます。具体的には、仮想PCへのRDP接続について、接続元IPアドレスをシンクライアントPCと保守用PCのIPアドレスに限定し、それ以外のIPアドレスからのRDP接続は拒否します。これにより、今回のような仮想環境内で横展開する経路を遮断することができます。
∴e=仮想PCへのRDP接続に対して,IPアドレスによる接続元制限を行う。
〔fについて〕
本事例では、マルウェアによりファイルサーバ上の社外秘ファイルが収集され、圧縮した上で外部サイトへ送信されています。また、この外部送信が正規のドメインユーザーの権限を用いて行われています。このような、正規ユーザーの権限を悪用したファイルの不正持ち出しに対しては、単にアクセス権限を厳しくするだけでは不十分です。
この種のファイル不正持ち出し対策として有効なのがDLP(Data Loss Prevention)です。DLPは、重要情報や機密ファイルをあらかじめ定義して監視し、USBメモリへのコピー、メール添付、Web送信など、組織外への持ち出し操作を検知したり、ブロックしたりする仕組みです。監視対象は「誰が操作しているか」ではなく「どのような情報が外部に出ようとしているか」であるため、本事例のように正規のドメインユーザーの資格情報が悪用される場合でも、機密ファイルの外部送信を制限することができます。
したがって、q.ps1によるファイルの不正持ち出しを防ぐ技術的対策としては、L社内にDLPを導入し、機密ファイルの持ち出しを制限することが妥当と言えます。
∴f=L社内にDLPを導入し,ファイルの持出しを制限する
〔eについて〕
本事例では、攻撃者はPC上で動作するマルウェアからRDP接続を行い、他のホストへの侵入と権限拡大を試みています。これは、マルウェアがRDPを用いて横方向に感染を広げようとした、いわゆるラテラルムーブメントの例です。
L社の業務手順では、従業員はシンクライアントPCから自分に割り当てられた仮想PCへRDP接続して業務を行います。また、サーバや仮想PCの保守には保守用PCからのRDP接続が利用されます。このため、RDP接続そのものを禁止してしまうと、通常業務や保守作業が成り立ちません。そこで必要なのはRDPは残しつつ、正当な接続元だけを許可する制御です。
今回の横展開は、本来は不要である仮想PC→仮想PCのRDP接続を介して行われましたから、これを禁止することが考えられます。具体的には、仮想PCへのRDP接続について、接続元IPアドレスをシンクライアントPCと保守用PCのIPアドレスに限定し、それ以外のIPアドレスからのRDP接続は拒否します。これにより、今回のような仮想環境内で横展開する経路を遮断することができます。
∴e=仮想PCへのRDP接続に対して,IPアドレスによる接続元制限を行う。
〔fについて〕
本事例では、マルウェアによりファイルサーバ上の社外秘ファイルが収集され、圧縮した上で外部サイトへ送信されています。また、この外部送信が正規のドメインユーザーの権限を用いて行われています。このような、正規ユーザーの権限を悪用したファイルの不正持ち出しに対しては、単にアクセス権限を厳しくするだけでは不十分です。
この種のファイル不正持ち出し対策として有効なのがDLP(Data Loss Prevention)です。DLPは、重要情報や機密ファイルをあらかじめ定義して監視し、USBメモリへのコピー、メール添付、Web送信など、組織外への持ち出し操作を検知したり、ブロックしたりする仕組みです。監視対象は「誰が操作しているか」ではなく「どのような情報が外部に出ようとしているか」であるため、本事例のように正規のドメインユーザーの資格情報が悪用される場合でも、機密ファイルの外部送信を制限することができます。
したがって、q.ps1によるファイルの不正持ち出しを防ぐ技術的対策としては、L社内にDLPを導入し、機密ファイルの持ち出しを制限することが妥当と言えます。
∴f=L社内にDLPを導入し,ファイルの持出しを制限する
広告
広告