https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000apad-att/2021r03a_sc_pm1_qs.pdf
以下のおすすめ問題の解説となります。
良書。
問3 PCの マルウェア対策に関する次の記述を読んで、設問1〜3に答えよ。
Q社は、従業員100名の金属加工会社である。Q社には、総務部、営業部及び技術部がある。
Q社では、全従業員にPCを貸与している。総務部員のPCは総務部LANに、営業部員のPCは営業部LANに、技術部員のPCは技術部LANに接続されている。業務に必要なソフトウェアを自らインストールして使用したいという各部からの要求に対応するために、貸与しているPCの従業員の利用者IDに管理者権限を付与している。
[Q社のネットワーク構成]
Q社の情報システムの管理は、総務部情報システム係のD主任とEさんが行っている。Q社のネットワーク構成を図1に示す。
Fサーバ1及びFサーバ2には、PC上のWebブラウザを使ってアクセスする。利用者ID及びパスワードでログインした後、ファイルの格納及び取り出しが行える。Fサーバ1、Fサーバ2及びPCのそれぞれのhostsファイルには、プロキシサーバ、Fサーバ1及びFサーバ2のホスト名とIPアドレスが登録されている。
プロキシサーバの機能概要を表1に示す。
Q社では、PC及びサーバに、V社のマルウェア対策ソフトを導入し、リアルタイムスキャンを有効にしている。マルウェア定義ファイルは、 PCでは起動時及び毎朝9時に、 サーバでは毎朝9時に、自動でV社のマルウェア定義ファイル配布サイト(以下、V社配布サイトという)にHTTPSで接続し、更新している。PCの利用者及びサーバの管理者は、マルウェア対策ソフトの画面の操作によってマルウェア定義ファイルを手動で更新することもできる。さらに、別のPCを用いてマルウェア定義ファイルをV社配布サイトから手動でダウンロードし、そのファイルを保存したDVD-Rを用いて更新することもできる。Fサーバ1及びFサーバ2がインターネットと通信するのは、マルウェア定義ファイルの更新時だけである。
Fサーバ1及びFサーバ2に、OS及びアプリケーションソフトウェアの脆弱性修正プログラムを適用する場合、Eさんが、各ベンダのサイトから脆弱性修正プログラムをPCにダウンロードしてDVD-Rに保存し、サーバに適用している。
Eさんは、週次アクセスログ調査として、毎週月曜日の10時に、前週の月曜日から日曜日までのFサーバ1及びFサーバ2へのアクセスログを調査している。
FWは、ステートフルパケットインスペクション型である。FWでは、アドレス変換機能を使用していない。FWのフィルタリングルールを表2に示す。
[不審なログインの発見と対応]
Eさんが、12月9日月曜日に週次アクセスログ調査をしたところ、12月6日の11時から13時にF サーバ1及びFサーバ2にログインを試みて失敗した記録が多数見つかった。アクセス元は、営業部のGさんの PC(以下、PC-Gという)であった。Eさんが、10時40分にGさんに電話で問い合わせたところ、12月6日は、Fサーバ1及びFサーバ2にはログインを試みていないとのことであった。Eさんは、PC-Gがマルウェアに感染したおそれがあると考え、①マルウェア感染拡大防止のためのPC-Gの初動対応をGさんに指示した。また、Gさんへの代替PCの貸出しとPC-Gの回収を行い、PC-Gについてはマルウェア感染への対応として、ディジタルフォレンジックスによる調査を行うことにして②必要な情報を取得した。
Eさんからマルウェア感染のおそれがあるという報告を受けたD主任は、PC-Gで(a)という方法を使って(b)をした後に、フルスキャンを実施するようEさんに指示した。さらに、図2に示すマルウェアへの対処をQ社全体に指示することにした。
Eさんは、PC-Gのフルスキャンで検出されたマルウェア(以下、マルウェアXという)の駆除を16時に完了した。Eさんは、マルウェアXへの感染の経緯を確認するために、GさんにPC-Gの使用状況をヒアリングした。
Eさんは、図3に示す調査結果を、12月10日の13時にD主任に報告した。
報告を受けたD主任は、 プロキシサーバに関して次の2点を指示した。
Eさんは、設定変更したこと、及び追加調査の結果、問題がなかったことをD主任に報告した。D主任とEさんは、図3、設定変更の実施及び追加調査の結果を総務部長に報告した。総務部長は、今回のマルウェアXの感染を踏まえ、追加のマルウェア対策の検討を指示した。D主任とEさんは、次の項目を検討することにした。
項目1:万が一マルウェアに感染した場合の被害拡大を防ぐ対策
項目2:マルウェア感染のリスクを低減する対策
下線①について、初動対応の内容を15字以内で述べよ
Networkから切断すること
PC-Gがマルウェア感染していることが疑われる際にやるべきことは1つ
Networkから切断することです。PCの画面操作を含む行動をするとそれをきっかけに何か発動する可能性もあるので、素直にNetowrkOFFがよい
下線②について、どのような情報か。10字以内で答えよ
ディスクイメージ
ディジタルフォレンジックスとは、不正アクセスや情報漏洩などの事故・事件があった際に、電子機器に残るデータから証拠を保全・分析していくことを指します
今回で言うとPCにデータが保存されているものになります。HDDとかSSDとかですかね。HDDやSSDの情報をディスクに保存することを想定してディスクイメージが回答
a:最新のマルウェアを主導ダウンロードし、DVD-Rを使用する
PC-Gはマルウェア感染したPCなので、マルウェア更新されたツールが12月9日にreleaseされているので、この定義ファイルを入手し、実施する必要がある
PC-Gで(a)という方法を使って(b)をした後に、フルスキャンを実施するようEさんに指示した。
文章の最初に手動でダウンロードする方法も記載されている。
b:マルウェア定義
PC-Gで(a)という方法を使って(b)をした後に、フルスキャンを実施するようEさんに指示した。
DVDーRに保存された最新のマルウェアを更新するというのが答えとなる
c: マルウェア対策ソフトの画面の操作
ネットワーク経由の場合はどうするか?が設問の意図
下線③について、追加調査の範囲を25字以内で具体的に述べよ。
Q社内の全てのPC及びサーバからのアクセス
調査報告
を受けて、何を追加調査する必要があるかという問いです。漏れがあるのでしょう。漏れとは何でしょうか。PC-Gのアクセスログの解析は実施していますが、他のPCにマルウェア感染があったかどうか不明です。追加調査の視点は、他のPCでも同じようなことがあったかどうか調べる必要があります。
Q社内の全てのPC及びサーバからのアクセスが調査対象として漏れている部分となります。