標的型サイバー攻撃【応用情報技術者試験 令和元年度 秋期 午後 問1】

応用情報技術者試験 令和元年度 秋期 午後 問1

問1 標的型サイバー攻撃に関する次の記述を読んで、設問1、2に答えよ。

 P社は、工場などで使用する制御機器の設計・開発・製造・販売を手掛ける、従業員数約50人の製造業である。P社では、顧客との連絡やファイルのやり取りに電子メール(以下、メールという)を利用している。従業員は一人1台のPCを貸与されており、メールの送受信にはPC上のメールクライアントソフトを使っている。メールの受信にはPOP3、メールの送信にはSMTPを使い、メールの受信だけに利用者IDとパスワードによる認証を行っている。PCはケーブル配線で社内LANに接続され、インターネットへのアクセスはファイアウォール(以下、FWという)でHTTP及びHTTPSによるアクセスだけを許可している。また、社内情報共有のためのポータルサイト用に、社内LAN上のWebサーバを利用している。P社のネットワーク構成の一部を図1に示す。社内LAN及びDMZ上の各機器には、固定のIPアドレスを割り当てている。

f:id:aolaniengineer:20200529111412p:plain

【P社に届いた不審なメール】

 ある日、”添付ファイルがある不審な内容のメールを受信したがどうしたらよいか”との問合せが、複数の従業員から総務部の情報システム担当に寄せられた。P社に届いた不審なメール(以下、P社に届いた当該メールを、不審メールという)の文面を図2に示す。

f:id:aolaniengineer:20200529111752p:plain

 情報システム担当のYさんが不審メールのヘッダを確認したところ、送信元メールアドレスのドメインはP社以外となっていた。また、総務部のX部長に確認したところ、そのようなメールは送信していないとのことであった。X部長は、不審メールの添付ファイルを実行しないように、全従業員に社内のポータルサイト、館内放送及び緊急連絡網で周知するとともに、Yさんに不審メールの調査を指示した。

 Yさんが社内の各部署で聞き取り調査を行ったところ、設計部のZさんも不審メールを受信しており、添付ファイルを展開して実行してしまっていたことが分かった。Yさんは、Zさんが使用していたPC(以下、被疑PCという)のケーブルを①ネットワークから切り離し、P社のネットワーク運用を委託しているQ社に調査を依頼した。

①で、Yさんが被疑PCをネットワークから切り離した目的を20字以内で述べよ。:社内の他の機器と通信させないため

セキュリティインシデントが発生した場合の初動対応として、被害を最小限に留めることが重要です。

PCがマルウェアに感染した可能性がある時は、ネットワークを介した他の機器への感染拡大や攻撃を阻止することが必要で、LANケーブルを抜いたり、無線LANを無効化して、他の機器と通信させないようにします。

 Q社で被疑PCを調査した結果、不審なプロセスが稼働しており、インターネット上の特定のサーバと不審な通信を試みていたことが判明した。不審な通信はSSHを使っていたので、②特定のサーバとの通信には失敗していた。また、Q社は(a:FW)のログを分析して、不審な通信が被疑PC以外には観測されていないので、被害はないと判断した。

②で、不審なプロセスが特定のサーバとの通信に失敗した理由を20字以内で述べよ。:FWでアクセスが許可されていないから

被疑PCとインターネット上の特定のサーバがSSHで通信を試み、失敗したとあります。

PCとインターネットの通信について、問題文に「インターネットへのアクセスはファイアウォール(以下、FWという)でHTTP及びHTTPSによるアクセスだけを許可している。」とあります。

したがって、SSHの通信はFWで許可されずに失敗すると判断できます。

a:FW

被疑PC以外で不審な通信、つまり、PCとインターネット上の特定サーバとのSSH通信が発生したとすると、被疑PCと同様にFWで失敗しているはずです。

FWにどこまでログを残しているかの説明はありませんが、一般的に、通信ごとに送信元や宛先のIPアドレス、ポート番号などの情報をログとして管理しています。

これを解析することで、他に被害が広がっていないかの判断材料とすることができます。

 Q社は、今回のインシデントはP社に対する標的型サイバー攻撃であったと判断し、調査の内容を取りまとめた調査レポートをYさんに提出した。

【標的型サイバー攻撃対策の検討】

 Yさんからの報告とQ社の調査レポートを確認したX部長は、今回のインシデントの教訓を生かして、情報セキュリティ対策として、図1のP社の社内LANのネットワーク構成を変更せずに実施できる技術的対策の検討をQ社に依頼するよう、Yさんに指示した。Q社のW氏はYさんとともに、P社で実施済みの情報セキュリティ対策のうち、標的型サイバー攻撃に有効な技術的対策を確認し、表1にまとめた。

f:id:aolaniengineer:20200529125803p:plain

 W氏は、表1の実施済みの情報セキュリティ対策を踏まえて、図1のP社の社内LANのネットワーク構成を変更せずに実施できる技術的対策の検討を進め、表2に示す標的型サイバー攻撃に有効な新たな情報セキュリティ対策案をYさんに示した。

f:id:aolaniengineer:20200529130054p:plain

b:SPF

メールの送信ドメインを認証する仕組みにSPF(Sender Policy Framework)があります。

SPFは、受信メールの送信者メールアドレスのドメイン名とIPアドレスが、送信側ドメインの管理者が設定したものと一致するかどうかで認証を行う技術です。

もう少し具体的にいうと、送信側ドメインの管理者は、送信メールサーバのIPアドレス情報などをDNSサーバにSPFレコードとして登録し公開します。

メール受信側では、受信メールの送信元メールアドレスのドメインを管理するDNSサーバへ問合せを行い、送信元ドメインの正当性を確認します。

 W氏は、新たな情報セキュリティ対策案について、Yさんに次のように説明した。

Yさん:メールサーバに導入する送信ドメイン認証は、標的型サイバー攻撃にどのように効果がありますか。

W氏:送信ドメイン認証は、メールの(c:送信元メールアドレスのなりすまし)を検知することができます。導入すれば、今回の不審メールは検知できたと思います。

c:送信元メールアドレスのなりすまし

標的型サイバー攻撃は、攻撃者の身元を隠蔽するため送信元メールアドレスを詐称していることが多く、つまり、送信元メールアドレスになりすますことで、受信者に疑われないようにするようにします。

送信ドメイン認証で、これを検知することができます。Yさん:メールサーバで送信する際に利用者認証を行う理由を教えてください。

W氏:標的型サイバー攻撃の目的が情報窃取だった場合、メール経由で情報が外部に漏えいするおそれがあります。利用者認証を行うことでそのようなリスクを低減できます。

Yさん:インターネットアクセス対策は、今回の不審な通信に対してどのような効果がありますか。

W氏:今回の不審な通信は特定のサーバとの通信に失敗していましたが、マルウェアが使用する通信プロトコルが(d:HTTP又はHTTPS)だった場合、サイバー攻撃の被害が拡大していたおそれがありました。その場合でも、表2に示したインターネットアクセス対策を導入することで防げる可能性が高まります。

d:HTTP又はHTTPS

前問のとおり、FWによりSSH通信が遮断され通信に失敗していました。

FWで許可しているHTTP又はHTTPSによる通信の場合には、マルウェアとC&Cサーバとの間で通信が成功して、情報が窃取されたり、遠隔操作されたりする可能性がありました。

Yさん:URLフィルタリング機能は、どのようなリスクへの対策ですか。

W氏:標的型サイバー攻撃はメール経由とは限りません。例えば、③水飲み場攻撃によってマルウェアをダウンロードさせられることがあります。URLフィルタリング機能を用いると、そのような被害を軽減できます。

③の水飲み場攻撃では、どこかにあらかじめ仕込んでおいたマルウェアをダウンロードするように仕向ける。マルウェアはどこに仕込まれる可能性が高いか、適切な内容を解答群の中から選び、記号で答えよ。

  • ア P社従業員がよく利用するサイト
  • イ P社従業員の利用が少ないサイト
  • ウ P社のプロキシサーバ
  • エ P社のメールサーバ

標的型サイバー攻撃では、標的対象となる組織や人の特有の運用にそった攻撃を用います。

その一つに水飲み場攻撃があり、標的対象がよく利用するサイトにマルウェアをダウンロードするように仕向けたりするものです。

Yさん:ログ監視機能の目的も教えてください。

W氏:表2に示したインターネットアクセス対策を導入した場合でも、高度な標的型サイバー攻撃が行われると、④こちらが講じた対策を回避してC&C(Command and Control)サーバと通信されてしまうおそれがあります。その場合に行われる不審な通信を検知するためにログ監視を行います。

④で、C&CサーバがURLフィルタリング機能でアクセスが遮断されないサイトに設置された場合、マルウェアがどのような機能を備えていると対策を回避されてしまうか、適切な内容を解答群の中から選び、記号で答えよ。

  • ア PC上のファイルを暗号化する機能
  • イ 感染後にしばらく潜伏してから攻撃を開始する機能
  • ウ 自身の亜種を作成する機能
  • エ プロキシサーバの利用者認証情報を窃取する機能

PCからのインターネットへのアクセスは、プロキシサーバ 経由となり、利用者認証を行う必要があります。

ただ、マルウェアによりこの利用者認証情報が窃取されてしまうと、これを利用してインターネットへのアクセスが可能となってしまいます。

マルウェアには、PC上のプロキシ設定を参照したり、通信を盗聴したりして認証情報を窃取するものがあります。

 W氏から説明を受けたYさんは、Q社から提案された新たな情報セキュリティ対策案をX部長に報告した。報告を受けたX部長は、各対策を導入する計画を立てるとともに、⑤不審なメールの適切な取扱いについて従業員に周知するように、Yさんに指示した。

【出典:応用情報技術者試験 令和元年度 春期 午後 問1(一部、加工あり)】

⑤で、P社従業員が不審なメールに気付いた場合、不審なメールに添付されているファイルを展開したり実行したりすることなくとるべき行動として、適切な内容を解答群の中から選び、記号で答えよ。

  • ア PCのメールクライアントソフトを再インストールする。
  • イ 不審なメールが届いたことをP社の情報システム担当に連絡する。
  • ウ 不審なメールの本文と添付ファイルをPCに保存する。
  • エ 不審なメールの本文に書かれているURLにアクセスして真偽を確認する。

不審なメールに気付いた場合には、以降の操作は行わず、情報システム担当又はインシデント対応部門に連絡し、指示を仰ぐのが適切です。

Follow me!