マルウェア感染のインシデント対応:活動の封じ込めとディジタルフォレンジックス【情報処理安全確保支援士試験 令和元年度 秋期 午後1 問3 設問1】

情報処理安全確保支援士試験 令和元年度 秋期 午後1 問3 設問1

問3 標的型攻撃への対応に関する次の記述を読んで、設問1〜3に答えよ。

 J社は、ビッグデータ解析を専門とする、従業員数150名の調査会社である。従業員は、情報収集のためのWebアクセス、並びに営業活動及び情報交換のための社外との電子メール送受信にインターネットを利用している。J社では、情報セキュリティポリシを整備して運用している。

 J社では、20XX年3月に標的型攻撃を受け、PCがマルウェアに感染して業務サーバ上の秘密情報を外部に送信してしまった。情報システム部(以下、情シ部という)が感染状況を調査し、感染が確実なPCだけでなく、疑わしいPCも合わせて40台のPCを初期化した。調査を始めてから初期化を完了するまでに48時間掛かり、その間、業務は停止せざるを得なかった。

【標的型攻撃対策

 J社は、事態が一段落したところで、情報セキュリティコンサルティング会社のK社に、標的型攻撃への対策についてのアドバイスを求めた。K社の担当コンサルタントである情報処理安全確保支援士(登録セキスペ)のN氏は、標的型攻撃への対応事例を示した上で、感染予防だけでなく、感染拡大防止や情報漏えい防止の対策も取り入れるべきであり、具体的には、マルウェアが、外部のC&C(Command and Control)サーバと通信を開始しようとする段階や、ほかの機器に感染を拡大しようとする段階で検知し対処できれば、情報漏えいの被害を軽減できるとアドバイスした。そこでJ社は、ITサービス会社のP社が提供する監視サービス(以下、Pサービスという)及びマルウェア対策ソフトベンダR社が提供するマルウェア対策製品(以下、Rシステムという)の導入、並びにインシデント対応手順など関係する規則類の改定を決めた。作業は、情シ部のE部長の指示によって、Gさんら3名が担当した。

 Pサービス及びRシステムの導入を終えた20XX年9月時点の、J社情報システムの概要を図1に、J社情報システム部の構成要素を表1に示す。また、改定後のインシデント対応手順を図2に示す。

f:id:aolaniengineer:20200606081314p:plain

f:id:aolaniengineer:20200606081352p:plain

f:id:aolaniengineer:20200606081423p:plain

f:id:aolaniengineer:20200606081446p:plain

【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後1問3】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm1_qs.pdf

図2中の(2)のようにする目的を、25字以内で述べよ。:メモリ上の情報が失われないようにするため。

図2のインシデント対応手順において、不審PCについては、(2)電源を入れたままにし、(3)LANケーブルを抜き、(8)外部の専門業者に不審PCのメモリやストレージの調査及び分析を依頼する、とあります。

ここで、メモリについては揮発性の記憶媒体であり電源停止により情報が消失してしまうため、電源を入れたままにしておく必要があります。

(2)や(8)の手順のように、攻撃を受けたコンピュータの状態を保全し、原因や影響などを調査及び分析する一連の作業を、ディジタルフォレンジックスといいます。

図2中の(3)について、不審PCを利用者LANから切り離さない場合、マルウェアがどのような活動をすると想定されるか。想定される活動のうち、J社にとって望ましくないものを二つ挙げ、それぞれ20字以内で述べよ。:J社情報システムに感染を拡大する。/インターネットに情報を送信する。

「J社にとって望ましくないマルウェアの活動」とは、なんとなくイメージできそうですが、自分の考えではなく、問題文の情報から答えを得ることが重要です。

問題文を眺めると、「感染予防だけでなく、感染拡大防止や情報漏えい防止の対策も取り入れるべきであり、具体的には、マルウェアが、外部のC&C(Command and Control)サーバと通信を開始しようとする段階や、ほかの機器に感染を拡大しようとする段階で検知し対処できれば、情報漏えいの被害を軽減できる」という記述がヒントになりそうです。

図2のインシデント対応手順は、この感染拡大防止や情報漏えい防止の対策として改定されたものであり、不審PCの利用者LANからの切り離しは対策の一つです。

したがって、不審PCを利用者LANから切り離さない場合、感染拡大や情報漏えいの活動が、「J社にとって望ましくないマルウェアの活動」と言えるでしょう。