https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000apad-att/2021r03a_sc_pm2_qs.pdf
以下のおすすめ問題の解説となります。
良書。
[インシデントの発生]
9月11日、情報システム部のシステム管理者であるCさんは、差出人が総務部のDさんと表記されたメールを受信した。メールの文面に違和感を覚えたCさんが、念のためDさんに電話で確認したところ、”そのようなメールは送信していない”という回答だった。Cさんは、すぐさまA社のCSIRTに報告した。報告を受けたCSIRT所属のEさんは、調査を行い、Dさんの証言やBサービスの利用履歴などからDさんのBサービスのアカウントが第三者に不正利用されている可能性が高いと判断した。Eさんは、情報システム部のCさんに、Dさんのアカウントの無効化装置を依頼した。その後、契約中のセキュリティベンダX社に所属する情報処理安全確保支援士(登録セキスペ)のP氏の支援を受け、9月16日に図8に示す初期調査結果をまとめた。
同日、X社からマルウェアの解析結果が報告された。マルウェアα及びマルウェアβのどちらにもA社を標的にしたと思われる識別文字列、A社固有のファイルパス、並びにC&CサーバのIPアドレス及びFQDNのリストが埋め込まれていた。また、どちらもA社が導入しているマルウェア対策ソフトでは検出されなかった。報告されたマルウェアの特徴を表2に示す。
A社は重大なインシデントが発生したと判断し、社内規程に従い緊急対策本部(以下、対策本部という)を設置した。
[インシデントへの対策の検討]
このインシデントでは、DさんがBサービスに脆弱なパスワードを設定していたことに加えて、新NWの導入に際してのBサービスの設定変更も攻撃が成功してしまった要因であることが分かった。
対策本部長(以下、本部長という)は、初期調査結果及びマルウェアの特徴をメンバと共有し、優先すべき対策を表3のように整理した。
次は、対策本部会議での、本部長、対策本部のメンバのGさん及びP氏の質疑である。
本部長:対策1については、どのように行うのか。
Gさん:マルウェアαとマルウェアβにはC&CサーバのIPアドレスとFQDNのリストが埋め込まれていました。そのIPアドレス、及びそのFQDNのDNSの正引き結果のIPアドレスの二つを併せたIPアドレスのリスト(以下、IPリストという)を手作業で作成しておき、IPリストに登録されたIPアドレスへの通信をUTMで拒否します。
P氏:その対策だけでは、③攻撃者が行う設定変更によって、すぐにマルウェアαやマルウェアβの通信を遮断できなくなることが考えられます。④そこで、UTMでの通信拒否に加えて、追加の暫定対策として、UTMのDNSシンクホール機能の有効化を推奨します。
本部長:では、両方の対策を実施しよう。次に、対策2については、どのように行うのか。
Gさん:まず感染を確認するために、イベントログにαログ又はβログが存在するかどうかをチェックする確認ツールを作成してA社内に配布し、従業員に実行してもらいます。
P氏:イベントログに(f)が存在するかどうかもチェックする必要があると思います。さらに、確認ツールは暫定対策として有効ですが、全ての感染を確認できるわけではありません。⑤確認ツールを実行し、問題がないと判定されたPCやサーバであっても、その後、別のPCやサーバに感染を拡大させることが考えられます。
本部長は、確認ツールとは別に、より高い精度でマルウェアα及びマルウェアβを検出し、駆除できるツール(以下、駆除ツールという)の開発をX社に委託することにした。P氏は、開発する駆除ツールは、ディジタルフォレンジックスの経験を有する技術者だけが扱うことができるツールになることを説明した。
P氏は、対策本部会議の恒久対策に関する質疑の際に、将来的には連携サーバをDCのDMZに移設し、連携FWを廃止する検討をした方がよいとの意見を述べた。その理由として、⑥インターネットから連携サーバが攻撃を受けたときに、より迅速な対応が可能であることを挙げた。
その後の対策本部会議の質疑の中で、連携サーバ自体が感染していなくても連携サーバ経由で、会員にもマルウェアβの感染を拡大させている可能性が指摘された。本部長は、Eさんに、早急に連携サーバ経由の感染状況を確認し、感染拡大を防止するよう指示した。
下線③について、どのような設定変更か。40字以内で具体的に述べよ
マルウェア内にFQDNで指定したC&CサーバのIPアドレスの変更
マルウェアαとマルウェアβにはC&CサーバのIPアドレスとFQDNのリストが埋め込まれていました。そのIPアドレス、及びそのFQDNのDNSの正引き結果のIPアドレスの二つを併せたIPアドレスのリスト(以下、IPリストという)を手作業で作成しておき、IPリストに登録されたIPアドレスへの通信をUTMで拒否します。
P氏:その対策だけでは、③攻撃者が行う設定変更によって、すぐにマルウェアαやマルウェアβの通信を遮断できなくなることが考えられます
ヒントが文章にありますマルウェアにはC&CサーバのIPアドレスとFQDNのリストが埋め込まれています。攻撃者が行う設定変更は、FQDNとC&CサーバのIPアドレスの紐づけを設定するだけですね。マルウェアに既に設定されたIPアドレスを変更したところで、マルウェア内にFQDNで指定したC&CサーバのIPアドレスの変更することで回避可能となります
下線④について、DNSシンクホール機能を有効化した場合でも、UTMでの通信拒否が必要な理由を、マルウェアの解析結果を踏まえて40字以内で具体的に述べよ
C&Cサーバとの通信時にDNSへの問合せを実行しない場合があるから
DNSシンクホール機能とは、文章にあります
DNSシンクホール機能:危険リストに登録したFQDNは指定のIPアドレスを返答する機能。リストは日時で自動更新されるとあるので、どこかのタイミングでは未更新のままかもしれないということか。
次にマルウェアの解析結果を見ておく。
前の設問で問われている範囲も確認しておく
C&CサーバのIPアドレスは拒否しないといけない。
f(20字以内)イベントログの消去を示すログ
イベントログに(f)が存在するかどうかもチェックする必要があると思います。
ログを消去したかどうかを確認する必要がある。書道調査でもみており重要な観点の一つ。
下線⑤について、問題がないと判定されるのは、PCやサーバがマルウェアβに感染後、マルウェアβがどのような挙動をしていた場合か。25字以内で具体的に述べよ
横展開機能と待機機能だけを実行していた場合
⑤確認ツールを実行し、問題がないと判定されたPCやサーバであっても、その後、別のPCやサーバに感染を拡大させること
待機機能と横展開機能を動作させた場合ログに残らないので検知されない。つまり問題ないと判定される
下線⑥について、可能である理由を45字以内で具体的に述べよ
UTMのIDS機能によって攻撃が検知でき、システム管理者に連絡がされるから
将来的には連携サーバをDCのDMZに移設し、連携FWを廃止する検討をした方がよいとの意見を述べた。その理由として、⑥インターネットから連携サーバが攻撃を受けたときに、より迅速な対応が可能であることを挙げた。
DC内に配置するとUTM機能が動くようになる。UTM機能にはIDS機能があり、内部への通信をチェックし、システム管理者に通知するシステムが使うことができ早期に問題に気付くことができる。
連携した現在の状態。