https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000apad-att/2021r03a_sc_pm2_qs.pdf
以下のおすすめ問題の解説となります。
良書。
[連携 サーバ経由の感染状況の確認と感染拡大防止]
Eさんは、まず、連携サーバをネットワークから切り離し、ディスクイメージを保全した。また、化学コンの運営責任者を通して、化学コンの全会員に連携端末を一時的にネットワークから切り離してもらうよう連絡し、全ての会員で対応が完了したことを即日確認した。9月17日、Eさんは連携サーバの担当者にヒアリングを実施した。ヒアリングの際に、連携サーバに存在するログファイルを担当者に確認してもらったところ、最も古いものは7月19日に生成されたものであることが分かった。Eさんは、マルウェアβの感染を拡大させている可能性があることから、会員でも何らかの対処が必要であり、会員によっては PCやサーバで、駆除ツールを実行しなければいかないと考えた。また、駆除ツールが扱える技術者を多数確保することは難しいので、全ての会員に対して一斉に対処をすることはできないと判断し、次の対処方針を定めた。
- 感染調査手順書を作成し、各会員の担当者に調査を依頼する。その調査結果から、会員をグループAとグループBに分ける。
グループA:感染の疑いが強く、より早期に対処が必要な会員
グループB:それ以外の会員 - グループAの会員には、P氏と駆除ツールが扱える技術者が連携端末設置場所に赴き、駆除ツールを用いて連携端末上のマルウェアβを駆除する。さらに、マルウェア感染に伴う会員側の被害を確認し、その対処をA社が支援する。
- グループAの全会員での駆除が完了した後に、グループBの会員に対して同様の手順で駆除を含めた対応を行う。
[感染調査手順書のレビュー]
Eさんは感染調査手順書案を作成し、P氏にレビューを依頼した。表4は感染調査手順書案を記載した感染調査項目、図9はP氏からのレビュー回答である。
EさんはP氏の指摘2に対する改善案として、表5に示す感染調査項目を追加し、調査2の調査結果が”記録あり”である場合もグループAと判定することにした。
Eさんは、再びP氏のレビューを受けた。次は、再レビュー時のP氏とEさんの会話である。
P氏:今回の感染調査の目的は、感染の疑いが強い会員を見つけることなので、調査2の内容は良いと思います。提案なのですが、仮に今回の感染調査の結果、大多数の会員がグループAと判定された場合、グループ分けの意義が薄れてしまいます。グループAと判定された会員の中から、更に対処を優先する会員を絞ってはどうでしょうか。
Eさん:対処を優先する会員をどのように絞ればよいのでしょうか。
P氏:⑦連携端末からほかの PCや サーバへの感染拡大が明らかな会員に絞るのであれば、調査2に使う通信記録から絞ることができると思います。グループAと判定された会員企業であっても、この通信記録がなかった会員は、⑧既に行っている対応から考えて、感染を拡大させるリスクは相対的に低いと考えることができます。
EさんはP氏の指摘や助言に従い感染調査手順書を修正し、会員に送付した。七つの会員がグループAと判定されたものの、どの会員にも深刻な被害は確認されなかった。A社はその後もインシデント対応を進め、社内の詳しい調査を経て、攻撃者の活動は初期調査結果どおりだったことも確認した。対策1と対策2の暫定対策と恒久対策を完了したA社は、対策本部を解散し、再発防止に向けた新たな取組の検討に着手した。
g:7月14日
連携サーバにおかれたものとしては、7月14日のマルウェアが添付された日が怪しい。
h:IPリストに登録されたIPアドレス
EさんはP氏の指摘2に対する改善案として、表5に示す感染調査項目を追加し、調査2の調査結果が”記録あり”である場合もグループAと判定することにした。
C&Cサーバへのログを追えばよい
IPリストに登録されたIPアドレス
(3)連携端末以外の IP アドレスを送信元とする通信記録
P氏:⑦連携端末からほかの PCや サーバへの感染拡大が明らかな会員に絞るのであれば、調査2に使う通信記録から絞ることができると思います。グループAと判定された会員企業であっても、この通信記録がなかった会員は、⑧既に行っている対応から考えて、感染を拡大させるリスクは相対的に低いと考えることができます。
送信元のIPアドレスをフィルタすることについて工夫ができないかを考えています。
感染するとC&Cサーバへの通信をしてくるので、逆に、連携していないIPアドレスからの通信は何かしらやっている可能性があるのでフィルタリングできます
連携端末以外の IP アドレスを送信元とする通信記録
(4)連携端末を一時的にネットワークから切り離した対応
連携端末を一時的にネットワークから切り離してもらうように指示していることから、
連携端末を一時的にネットワークから切り離した対応が正解となる