https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000008smf-att/2022r04a_sc_pm2_qs.pdf
以下のおすすめ問題の解説となります。
良書。
問2 インシデントレスポンスチームに関する次の記述を読んで、設問に答えよ。
K社は、従業員500名の輸入卸売業者である。拠点は、本社、営業所2か所、倉庫1か所の計4か所である。K社のネットワーク及び機器並びに関連する規程の整備は、 情報システム課が担当している。K社のネットワーク構成を図1に、各 サーバで取得しているログの内容を表1に示す。
[マルウェアαの検知と対応]
K社では、PCにマルウェア対策ソフトを導入しており、リアルタイムスキャンとスケジュールスキャンを実施している。マルウェア対策ソフトの管理サーバはクラウドサービス上にある。マルウェア定義ファイルは、PCを起動したときに更新される。スケジュールスキャンは、毎週月曜日の10:00に実施される。
ある月曜日、情報システム課のW主任がスケジュールスキャンの結果を確認していたところ、10台のPCでマルウェアαが検出され、駆除されていた。W主任が、マルウェアαについてインターネット上で公開されている情報を調べたところ、次のことが分かった。
- マルウェアαは、8日前に発見された。
- K社で利用しているマルウェア対策ソフトの定義ファイルにマルウェアαが登録されたのは、昨日だった。
- 細工されたマクロ(以下、マクロGという)が仕込まれてる、表計算ソフト(以下、Vソフトという)のデータファイル(以下、ファイルGという)を開いて、マクロGを実行してしまうと、攻撃者のWebサーバからマルウェアαがダウンロードされ、起動される。
- マルウェアαは、起動すると、PC上のメールフォルダにある 電子メール(以下、電子メールをメールという)を読み出して、攻撃者が用意したWeb サーバにアップロードする。その後、OS設定を変更して、OSログイン時にマルウェアαが自動起動されるようにする。
なお、K社で利用しているメールソフトでは、メールは1通が1ファイルとしてPCのメールフォルダ内に保存されている。
マルウェアαが検出されたPCのログとプロキシサーバのログを調べた結果、これらのPCの中には、先週の水曜日以降、攻撃者のWebサーバのものと思われるURLにファイルをアップロードしているPCがあったことが分かった。W主任は、調査の結果を上司のM課長に報告した。
M課長から調査と対応の指示を受けたW主任は、K社に機器を納入しているP社に支援を依頼した。依頼に応じたP社の情報処理安全確保支援士(登録セキスペ)であるU氏の協力を得て、W主任は、アップロードされたファイルの特定並びにマルウェアα及びファイルGの削除を進め、調査と対応を完了した。
[定義ファイルに登録されていないマルウェアの検知]
マルウェアαへの調査と対応が完了した後、W主任は、マルウェア対策ソフトの定義ファイルに登録されていないマルウェアも検知したいと考え、どうすればよいかU氏に相談した。U氏は、その用途に使用可能な製品として、EDR(Endpoint Detection and Response)があることを説明し、製品Cを提案した。製品Cは、各 PCに導入し、クラウドサービス上の管理 サーバから操作する。製品Cの機能を表2に示す。
例えば、マルウェアαは、PCで起きたイベントから製品Cを使って検知できる。マルウェアαの特徴的なイベントは、同じサイズのファイルに対する①ファイル操作のイベント及び②ネットワーク動作のイベント、並びにログイン時の自動起動に関するOS設定の変更のイベントである。これらのイベントが、短時間のうちにこの順序で発生したことを検知すればよい。
続けて、U氏は、P社が提供可能な、製品Cに関連するサービスを表4を示して説明した。
W主任は、次の三つを軸としたEDR導入案をまとめ、M課長の承認を得た。
- 社内の全PCに製品Cを導入する。
- 製品Cを使ったマルウェアの検知及び対応のための体制(以下、E体制という)を立ち上げる。
- 表4の解析サービスは必要に応じて利用するが、その他のサービスは利用しない。
3か月後、製品Cを全PCに導入し、E体制を立ち上げた。E体制のチームリーダはM課長、メンバーはW主任を含む情報システム課の課員3名である。
まずは、図3の検知ルールだけを用いて試験運用を開始した。
下線①、②について、検知するための単純ルールを、それぞれ30字以内で具体的に述べよ
①メールフォルダ内のファイルが読み込まれた
②ファイルがHTTPでアップロードされた
例えば、マルウェアαは、PCで起きたイベントから製品Cを使って検知できる。マルウェアαの特徴的なイベントは、同じサイズのファイルに対する①ファイル操作のイベント及び②ネットワーク動作のイベント、並びにログイン時の自動起動に関するOS設定の変更のイベントである。これらのイベントが、短時間のうちにこの順序で発生したことを検知すればよい。
マルウェアの動作
①ファイル操作のイベント
PC上のメールフォルダにある 電子メールの読込みとなるので、メールフォルダ内のファイルが読み込まれたが解答となる
②ネットワーク動作のイベント
ファイルがHTTPでアップロードされた