【情報処理安全確保支援士試験 令和3年度 秋期 午後1 問1 No.2】

情報処理安全確保支援士試験 令和3年度 秋期 午後1 問1

【出典:情報処理安全確保支援士試験 令和3年度 秋期 午後1 問1(一部、加工あり)】

[セキュリティインシデントの発生と対応]
6月16日に、J社のシステム管理者であるFさんが、FWのフィルタリングルールに基づいて記録されたログ(以下、FWログという)から不審なログを発見した。調査したところ、暗号資産を採掘するプログラム(以下、プログラムHという)が保守用中継サーバで動作しており、②定期的にインターネット上のサーバに通信を試みていたことが分かった。そこで、外部の情報処理安全確保支援士(登録セキスペ)のS氏の助言の下、影響範囲及び原因の調査並びに対策方法の検討をすることにした。S氏からは、保守作業関連書類、FWログ、SSH認証及び操作ログの調査並びに保守員へのヒアリングをするように助言があった。
翌日、Fさんは、S氏に図3に示す保守作業関連書類及び各種ログの調査結果並びに図4に示すヒアリング結果を報告した。

S氏は、この報告から、第三者がop1のパスワードを推測してインターネット経由で不正アクセスした可能性が高いと判断し、被害範囲の特定のために各種ログを追加調査するように助言した。Fさんによる追加調査の結果、FWログ、SSH認証ログ及び操作ログからは、保守用中継サーバにプログラムHを設置した記録は見つかったが、保守用中継サーバから顧客管理サーバを含む他機器へのアクセスの記録は見つからなかった。FさんとS氏は、こららの調査結果から、影響範囲は保守用中継サーバだけにとどまり、情報漏えいの被害もなかったと結論付けた。

下線②の通信は、表1のどのルールによってFWログに記録されるか。表1中の項番で答えよ。:6

調査したところ、暗号資産を採掘するプログラム(以下、プログラムHという)が保守用中継サーバで動作しており、②定期的にインターネット上のサーバに通信を試みていたことが分かった。

(b:保守PC-A、c:インターネット)

保守用中継サーバからインターネット上のサーバへの通信が表1のどのルールに合致するか確認していきます。
表1の注記1「項番が小さいルールから順に、最初に合致したルールが適用される」とあることから、項番1から順に該当するルールを探すと、項番1〜6で送信元が保守用中継サーバであるルールが存在しません。
ただし、項番6の送信元がDMZとあることから、保守用中継サーバがDMZに配置されていないか確認します。

図1から保守用中継サーバはDMZに配置されていることが分かり、項番6の送信元:「DMZ」、宛先:「インターネット」、サービス:「全て」、動作:「拒否」、ログの記録:「する」のルールによって該当する通信をFWログとして記録することが分かります。

今回のセキュリティインシデントにおいて、第三者が保守用中継サーバにSSH接続可能だった期間は何月何日の何時何分から何月何日の何時何分までか。期間を答えよ。:6月14日の7時0分から6月14日の9時30分まで

保守用中継サーバへのSSH接続の時間について、関連する記述を確認していきます。

  1. 保守員2から、顧客管理サーバの保守を、保守PC-Cを使って6月14日の7時から9時30分に行うという事前申請が出されていた。事前申請に従って、J社のシステム管理者はFWの設定を変更した。
  2. 6月14日8時に、op1がプログラムHを設置した。
  3. op1は6月14日7時30分から認証の失敗が84回続き、7時40分に認証に成功していた。

上記1のFWの設定変更は、表1(FWのフィルタリングルール)の項番4(インターネットから保守用中継サーバ)への通信を事前申請の時間帯のみ許可するというものです。
したがって、第三者によるインターネットから保守用中継サーバへのSSH接続可能だった期間は、このFWの設定変更されていた時間「6月14日の7時から9時30分」であり、上記2、3の記述がこの期間中に行われたということと理解できます。