インシデントに対する応急措置【平成29年度 春期 情報処理安全確保支援士試験 午後2 問1 設問4】

平成29年度 春期 情報処理安全確保支援士試験 午後2 問1 設問4

(略)

f:id:aolaniengineer:20200216154209p:plain

(略)

f:id:aolaniengineer:20200216154305p:plain

(略)

 G君が、被疑PCの利用者であるSさんから聞き取り調査をした結果は次のとおりであった。

・昨日まで出張が続いていたので、被疑PCの電源を入れるのは3か月ぶりであった。

(略)

 被疑PCの通信について、観測の結果は次のとおりであった。

(ⅰ)解析用認証サーバに、認証を要求する。

(ⅱ)解析用プロキシサーバを経由して被疑サーバにHTTPS通信を行おうとする。

(ⅲ)被害サーバ以外を宛先としてHTTP/HTTPS通信は行わない。

(ⅳ)被疑PCと同一サブネット上のIPアドレスに対して、何らかのアクセスをする。

 このうち、アクセスの内容が不明であった(ⅳ)を詳細に解析した結果、社内PCのOSで以前発見された脆弱性(以下、脆弱性Kという)を突いて攻撃を仕掛けていることが判明した。脆弱性Kは、2か月ほど前に脆弱性修正プログラムと併せて公開されており、R社でも社内PCに脆弱性修正プログラムを配信していた

(略)

f:id:aolaniengineer:20200220213440p:plain

(略)

〔応急措置の決定と実施〕

 M君がデバッガを使って検体α2を解析している間に、図5の環境において十分なパケットデータが取得できた。このパケットデータから、被疑サーバに送信していた情報が判明した。情報は暗号化されていたが、検体α2のマルウェア本体から取り出した鍵を使って復号したところ、平文を得ることができた。

 その結果、次の三つが被疑サーバに送信されていることが確認できた。

・被疑PC内に一時的に保存された認証情報(利用者IDと、パスワードのハッシュ値を含む)

・解析用認証サーバから取得した認証情報(利用者IDだけを含み、パスワードのハッシュ値を含まない)

・OSの設定情報及びシステムファイルのファイル名の一覧

 M君の報告を受けたV課長は、マルウェアの動作の特定並びに被害の有無及び影響範囲の確認ができたと考え、これ以上の被害拡大を防ぐために、表5の応急措置を即時実施することをT部長に進言した。

f:id:aolaniengineer:20200222214925p:plain

【出典:情報処理安全確保支援士試験 平成29年度春期午後2問1(一部、加工あり)】

c :プロキシサーバのブラックリスト

「被疑サーバへのHTTPSアクセスの禁止」を目的にする応急措置としては、社内PCから社外のWebサーバへのアクセスを中継するにはプロキシサーバを経由することが思い浮かべられると思います。

ここで単純に「プロキシサーバ 」とだけで済ませるのではなく、表1にあるプロキシサーバの役割・仕様を確認しましょう。

すると「アクセス先URLに基づき、アクセス制御を行う。ホワイトリスト/ブラックリストの登録ができる」とあります。アクセスの禁止を行うのはブラックリストですので、「プロキシサーバのブラックリスト」が正解です。

d (新規にソフトウェアや機器を調達しない前提):脆弱性Kに対応した脆弱性修正プログラムを適用する

「マルウェアの感染の防止」を目的にする応急措置です。

今回のマルウェアの調査結果を問題文で探すと、「社内PCのOSで以前発見された脆弱性Kを突いて攻撃を仕掛けていることが判明」とあります。ただ、続けて「脆弱性Kは、2か月ほど前に脆弱性修正プログラムと併せて公開されており、R社でも社内PCに脆弱性修正プログラムを配信していた」とあるように、既に措置がなされているようです。

では、なぜ今回のインシデントが発生したのか更に問題文を確認すると、被疑PCの利用者からの聞き取り調査で、「昨日まで出張が続いていたので、被疑PCの電源を入れるのは3か月ぶりであった」とあります。

このように脆弱性修正プログラムを配信していたとしても、それぞれのPCの状況で適用できていない場合もあるので、応急措置として改めて適用するとしたと考えられます。

(表1のパッチ配信サーバで取得しているログに「各PCの脆弱性修正プログラムの適用結果」とあるので、適用済みかどうかは確認できると思われます。全ての社内PCに対する応急措置というのが疑問に思われました)

e :パスワードの変更

「窃取されたアカウント情報の悪用の防止」を目的に「被疑PC内にキャッシュされていた認証情報に含まれる利用者のアカウント」に対する応急措置です。

被疑PC内の認証情報は「利用者IDと、パスワードのハッシュ値を含む」とあるように、パスワードは平文ではありません。

ただ、ハッシュ値が攻撃者に渡ってしまった場合、時間をかければ解読されてしまう可能性はあるため、念のためパスワードの変更は必要です。