マルウェア感染特定のログを保有する機器【情報処理安全確保支援士試験 平成31年度 春期 午後2 問1 設問1】
情報処理安全確保支援士試験 平成31年度 春期 午後2 問1 設問1
【出典:情報処理安全確保支援士試験 平成31年度 春期 午後2問1(一部、加工あり)】
問1 マルウェア感染と対策に関する次の記述を読んで、設問1〜6に答えよ。
N社は、従業員数5,000名の化学メーカであり、総務部、営業部、製造部及び情報システム部(以下、情シスという)がある。また、国内に工場がある。N社のLAN構成を図1に示す。
N社では、全従業員に一つずつ利用者IDが割り当てられ、その利用者IDとパスワードが認証サーバに登録される。タブレットPC、問合せ用PC及びD-PC(以下この三つを併せて、社内PCという)へのログオン時並びに内部メールサーバ及びファイルサーバへのアクセス時には、認証サーバを使用して認証が実施される。イントラポータルサーバは、認証サーバと連携して、ベーシック認証を使用している。
総務部では、無線LAN接続型のタブレットPCを導入している。無線LANの暗号化では、WPA2を使用している。W-APでは、不正な端末の接続を防ぐための対策として、次の機能を使用している。
- 登録済みMACアドレスをもつ端末だけを接続可能とする接続制御
- 総務部に所属する従業員の利用者IDだけに接続を許可するIEEE 802.1X認証
IEEE 802.1X認証では、認証サーバと連携して、利用者IDとパスワードを使用している(EAP-PEAP)。
プロキシサーバでは、各機器からの全てのアクセスについて、アクセスログを取得している。
N社では、クラウドサービスを利用して、会社情報や製品情報を公開するWebサイトを運用している。Webサイトには、訪問者からの問合せを受け付けるためのフォームが用意されており、訪問者が問い合わせ内容を入力すると、その内容が電子メール(以下、メールという)でN社の特定のメールアドレス宛てに送信される。フォームにはファイルを添付する機能はないので、問合せメールにファイルが添付されることはない。万一、このフォーム以外から、この特定のメールアドレス宛てにメールが届いた場合は、そのメールは破棄される。問合せ用PCは、問合せメールを受信するための専用のD-PCで、他の用途には使用していない。また、問合せメールを他の社内PCで受信することはない。問合せ用PCから回答メールを返信する場合、回答メールの送信元メールアドレスには送信専用のメールアドレスを使用している。
FW1のルールを表1に、FW2のルールを表2に示す。
FW1とFW2は、ステートフルパケットインスペクション型である。FW1には、ペイロードの内容に基づきアプリケーション層での通信の挙動を分析し、マルウェアの動作に伴う不正な通信を検出して遮断できる機能(以下、L7FW機能という)がある。
【インシデント発生】
4月12日 13:00頃、セキュリティ情報共有団体から、”あるC&C(Command and Control)サーバを調査していたところ、そのサーバに対するN社からの通信記録を発見した。”との連絡が届き、その通信に関して、表3の情報が提供された。
情報提供を受けて、N社のCSIRTメンバが召集された。N社のCSIRTのリーダであるR課長は、メンバのP君に対して、情報処理安全確保支援士(登録セキスペ)であるW主任の支援を受けながら、直ちに状況を確認するよう指示した。P君は、表3の情報の真偽を確かめるために、まず(a)のログを確認してN社から当該情報が発信されていたとの確証を得た後、通信を開始した端末を特定するために(b)のログを確認した。その結果、問合せ用PCからC&Cサーバに向けてHTTPSと思われるセッションが確立していたことが確認できた。
a:FW1、b:プロキシサーバ
社内からインターネットへの通信を確認するには、ファイアウォールやプロキシサーバなどのログから確認すると思いますが、問題文ではどのように行動しているでしょうか。
まずは表3(提供された情報)を確認します。
送信元IPアドレスは注記にあるようにプロキシサーバです。そこからC&Cサーバにポート番号:443(HTTPS)でアクセスされています。
この情報からプロキシサーバとC&Cサーバがあるインターネットへの通信に関して問題文を見ていくと以下のことが分かります。
- (図1)N社からインターネットにはFW1、FW2を経由する。
- (本文)「プロキシサーバでは、各機器からの全てのアクセスについて、アクセスログを取得している。」
- (表1)FW1では送信元がプロキシサーバ、宛先がインターネット、サービスがHTTP、HTTPS、FTPの通信が許可され、ログ取得される。
- (表2)FW2では送信元が内部IP、宛先がプロキシサーバ、サービスが代替HTTPの通信が許可され、ログ取得される。
- (本文)「FW1とFW2は、ステートフルパケットインスペクション型である」
これらの情報から考えると、(a)については、N社から当該情報が発信されていたことを確認するには、インターネットの接続点であるFW1のログを確認することだと分かります。
(b)については、通信を開始した端末を特定するには、プロキシサーバ向けの通信としてFW1やFW2のログを確認する方法も考えられますが、プロキシサーバ自身のログを確認するのが一番効率的かと思われます。
自分がP君になったつもりで、まず最初に確認することは何かを想像しましょう。
どれが正解かはその状況により変わってきますが、問題文にはその状況における最も相応しいと思われる行動が記載されていますので、模擬訓練として経験値を高めるつもりで取り組むといいと思います。