プロキシ認証、FWフィルタリングルール、EDR【情報処理安全確保支援士試験 令和元年度 秋期 午後1 問2 設問1】

情報処理安全確保支援士試験 令和元年度 秋期 午後1 問2 設問1

問2 セキュリティインシデント対応におけるサーバーセキュリティ情報の活用に関する次の記述を読んで、設問1、2に答えよ。

 Z社は、従業員数150名の金融事業会社である。事業規模は小さいが、多くの個人情報を扱っている。サイバーセキュリティ情報を共有し、サイバー攻撃への防御力を高める目的で活動する組織(ISAC:Information Sharing and Analysis Center)に最近加盟した。Z社には5名で構成されるIT部門があり、ITシステムの運用や管理を行っている。Z社のネットワーク構成を図1に示す。

f:id:aolaniengineer:20200603045958p:plain

 FWのフィルタリングルールを表1に、図1中に記載された機器の詳細を表2に示す。

f:id:aolaniengineer:20200603050242p:plain

f:id:aolaniengineer:20200603050329p:plain

【ISACからの情報提供と対応】

 20XX年11月19日、Z社はISACから、サイバーセキュリティ情報の提供を受けた。当該情報の概要を図2に示す。

f:id:aolaniengineer:20200603050552p:plain

 攻撃グループXがZ社を攻撃する計画を立てていたことを重く見たZ社は、実際に攻撃を受けたかの調査を開始した。IT部門のK部長がプロジェクトリーダとなり、部下のHさんが調査した。図3にHさんの調査結果を示す。

f:id:aolaniengineer:20200603050827p:plain

①について、通信が遮断された理由を20字以内で述べよ。ここで、図1で示したZ社内の機器及び攻撃グループXのC&Cサーバは正常に稼働していたものとする。:プロキシ認証に失敗したから。

通信が遮断されていたことは、プロキシサーバ のログに記録されていたとのことから、プロキシサーバの機能により遮断されたと考えます。

そこで、表2(図1中に記載された機器の詳細(抜粋))からプロキシサーバの機能を確認すると、「PCからインターネットにアクセスするためには利用者IDとパスワードによるBASIC認証(プロキシ認証)を必須としている」とあります。

したがって、マルウェアPがプロキシサーバを利用する際に、プロキシ認証で失敗したことが分かります。

a:FW

「パブリックDNSサービスLに対するDNSプロトコルによる通信」に関して、図2(提供されたサイバーセキュリティ情報の概要)に、「DNSプロトコルの場合、パブリックDNSサービスLを経由して通信する。攻撃対象となる組織が管理するDNSサーバを経由してC&Cサーバと通信する事例は報告されていない。」とあります。

マルウェアPに感染したPCからインターネットと直接通信するには、図1(Z社のネットワーク構成)から分かるようにFWを経由します。

そして表1(FWのフィルタリングルール)から、項番3で「送信元:全て、宛先:インターネット、サービス:DNS」が許可されています。

また、表2からFWでは動作ログとして記録されています。

②について、情報持ち出しが成功した可能性が高いとZ社が判断可能な痕跡は何か。該当する痕跡を二つ挙げ、それぞれ30字以内で述べよ。:グローバルIPアドレスMへのHTTP通信成功のログ/パブリックDNSサービスLへのDNS通信成功のログ

該当するマルウェアは、C&C通信にはHTTP又はDNSプロトコルを使用し、具体的にはグローバルIPアドレスMへのHTTP通信と、パブリックDNSサービスLへのDNS通信を使用することが分かっています。

情報持ち出しが成功したとすると、これらの通信が成功したログがプロキシサーバやFWに残っているはずです。

したがって、情報持ち出しの成否は、これらの通信成功のログの痕跡により判断可能です。

 K部長は、情報持ち出しは成功していないと判断できたことは不幸中の幸いだったとして、調査は一旦完了とした。③調査で判明した情報はISACに提供した。

【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後1問2(一部、加工あり)】

③について、ISACに伝えるべき情報のうち、他社がEDRなどセキュリティ対策ソフトウェア又はセキュリティ機器を用いて感染端末を検出する際に有効であり、共有すべき情報を解答群の中から二つ選び、記号で答えよ。:

解答群

ア PC-VとPC-Tがマルウェアに感染した日時情報

イ マルウェアPとマルウェアRがHTTPによる通信を試みたグルーバルIPアドレスM

ウ マルウェアPとマルウェアRが配置されていたフォルダNのパス名

エ マルウェアPに感染したPC-VのプライベートIPアドレス

オ マルウェアPのファイル名

カ マルウェアRに感染したPC-TのプライベートIPアドレス

キ マルウェアRのファイル名

EDR(Endpoint Detection and Response)については、表2に「PC上のプロセスの起動・終了、ネットワーク通信、ファイル操作、実行ファイルのパスなどを記録し、検索できる」とあります。

したがって、今回のこれらの記録内容を他社でも共有できれば、感染端末を検出する際に有効となります。

アのマルウェアに感染した日時情報は、PC操作のタイミングによって異なるため、有効な情報とはなり得ません。

イのマルウェアが通信を試みたグローバルIPアドレスMは、マルウェア特有の情報であり、EDRのネットワーク通信に記録されるため、有効な情報となります。

ウのマルウェアが配置されたフォルダのパス名は、図3に「マルウェアPは、PC-VのローカルストレージのフォルダNにAmX3PxvR7.exeというファイル名で配置」「マルウェアRはPC-TのローカルストレージのフォルダNにbV6fZq3hi.exeというファイル名で配置」とあり、ファイル名は異なりますが、フォルダNが共通のため、フォルダのパス名はマルウェア特有の情報であると思われます。

エ、カの感染PCのプライベートIPアドレスは、自組織特有のもので、有効な情報ではありません。

オ、キは、上記のとおり、攻撃対象ごとに異なるため、有効な情報とはなり得ません。