情報漏えいインシデントの調査と一時的な対応【情報処理安全確保支援士試験 平成31年度 春期 午後2 問2 設問5】

情報処理安全確保支援士試験 平成31年度 春期 午後2 問2 設問5

問2 情報瀬セキュリティ対策の強化に関する次の記述を読んで、設問1〜7に答えよ。

(略)

f:id:aolaniengineer:20200522085716p:plain

(略)

 設計情報管理サーバの利用者は、設計部員及び製造部員である。利用者IDは、利用者のメールアドレスである。初期パスワードには、メールアドレスと同じ文字列を登録し、利用者に通知する。利用者は、自身でパスワードを変更することができる。

 (略)

 DPC及びサーバ上のマルウェア対策ソフトは、起動時及び起動後2時間おきにプロキシサーバ経由でマルウェア対策ソフトベンダのサイトからマルウェア定義ファイルをダウンロードし、更新している。マルウェア対策ソフトでは、ファイルを読み書きするときにマルウェアスキャンする機能(以下、リアルタイムスキャンという)を有効にするとともに、全てのファイルをマルウェアスキャンする機能(以下、フルスキャンという)を、毎週火曜日12時に実行している。フルスキャン実行時、CPUの負荷を減らすために、圧縮ファイルは対象外としている。

 (略)

【情報漏えいの調査及び一時的な対処】

 FさんはG氏の協力を受けて、FW、DMZ上のサーバ及び内部システムLAN上のサーバの調査を開始した。FさんとG氏は、設計情報管理サーバからファイルSが取り出された可能性が高いと考え、設計情報管理サーバのアクセスログを調査した。その結果、ファイルSを作成するためにJさんが設計情報管理サーバに登録した利用者ID kyoudou@a-sha.co.jp(以下、ID-Kという)による不審なアクセスが6月1日に発生していたことが判明した。設計情報管理サーバの6月1日のアクセスログのうち、利用者IDがID-Kのものを表6に示す。

f:id:aolaniengineer:20200522092444p:plain

 Fさんが、ID-KについてJさんに確認したところ、ID-Kは、共同出品金型の設計に携わっているJさん及び2名の設計部員(以下、3名を併せて、共同出品担当メンバという)が利用していた。

 さらに、表6の接続元IPアドレスに記録されたDPCを特定するために、DHCPサーバのログを調査することにした。DHCPサーバの6月1日のIPアドレス割当ログのうち、割り当てたIPアドレスが192.168.19.8又は192.168.64.3であるものを表7に示す。

f:id:aolaniengineer:20200522092537p:plain

 Fさんは、②サーバのログの調査だけでは操作者を特定するには不十分なので、当事者へのヒアリング及びDPCの動作ログの調査が必要であると判断した。ヒアリング及び調査の結果を図2に示す。

②について、不十分な理由を55字以内で述べよ。:なりすましによるアクセスの場合、操作した人物とログに記録された利用者IDの利用者とは異なるから

 表6の設計情報管理サーバのアクセスログから、利用者IDと接続元IPアドレスが分かります。

 そして表7のDHCPサーバのIPアドレス割当ログから、対象DPCである「JさんのDPC」「営業係KさんのDPC」であることが分かります。

 具体的には、以下のことが分かります。

  1. 表6の項番1〜3のログは、JさんのDPCからのアクセスで、ログインに成功後、ファイルS(kyoudousyuppin.zip)をアップロードしてログアウトしている。
  2. 表6の項番4〜9のログは、営業係KさんのDPCからのアクセスで、ログイン失敗を繰り返した後、ログインに成功し、ファイルSをダウンロードしている。

2について、ログイン試行が繰り返されていることや、問題文に「設計情報管理サーバの利用者は、設計部員及び製造部員である」とあることから、不審なアクセスであると判断できます。

 では、この結果を持って、操作者をKさんと特定できるでしょうか。

 設計情報管理サーバにおける利用者認証は、表5(内部システムLAN上のサーバの概要)に以下の説明があります。

  • 利用者IDとパスワードで利用者認証を行う。
  • パスワードは10字以上とし、英数字及び記号を使用できる。
  • 設計部のサーバ管理者が、利用者IDと初期パスワードを登録する。

 ここで不正アクセスの対象となっている利用者IDのID-Kは、共同出品担当メンバで共有しているものであり、当然ですがパスワードも共有しています。

 したがって、利用者IDのID-Kだけでは、共同出品担当メンバのうちの実際の操作者を特定できないことになります。

 また、別の観点で、利用者ID・パスワードを不正に入手したり、DPCがウィルス感染して、共同出品担当メンバになりすましてアクセスすることも考えられます。

 これらのことを解答にまとめます。

f:id:aolaniengineer:20200522092628p:plain

 ヒアリング及び調査の結果、Fさんは、③表6の項番4から項番9のアクセスは、共同出品担当メンバの操作ではなく、KさんのDPCがマルウェアに感染し、マルウェアによってファイルSが漏えいしたと可能性があると判断した。Fさんは、E部長に報告するとともに、調査のために、KさんのDPCを回収し、予備のDPCをKさんに貸与した。

③にように判断した根拠を50字以内で具体的に述べよ。:アクセスがあった時、共同出品担当メンバはB社にいてKさんのDPCを使用できないこと

 図2から以下のことが分かります。

  • 共同出品担当メンバは、その時間帯はB社にいた
  • Kさんは、その時間帯は上司と打ち合わせをしていた
  • Kさんには設計情報管理サーバの利用者IDの割当てはなく、アクセスできない

 これらのことから、共同出品担当メンバがKさんのDPCを使用してアクセスすることは不可能だと分かります。

 さらに、ID-Kは不正ログインに使用されたので、Fさんは、Jさんに、④ID-Kへの一時的な対処を依頼した。

④について、一時的な対処を15字以内で答えよ。:パスワードを変更する。

 一度、不正ログインに使用されたということは、また不正ログインされる可能性があるということです。

 一時的な対処として有効なことは、利用者IDの変更です。

 ただし、利用者IDの管理は、上記にあったように、設計部のサーバ管理者が実施しています。

 ここではJさんに実施できることとして考えると、パスワードの変更が妥当です。

 Fさんは、G氏のアドバイスを受けながら、JさんとKさんへの追加のヒアリング及び調査を行なった。それらの結果を図3に示す。

f:id:aolaniengineer:20200522092758p:plain

(6)について、フルスキャンを実施した目的は何か。40字以内で述べよ。:マルウェアXを含む圧縮ファイルを保存しているDPCの有無を確認するため

 まず、マルウェア対策ソフトの運用はどのようになっていたのでしょうか。

 問題文に以下のように説明されています。

「DPC及びサーバ上のマルウェア対策ソフトは、起動時及び起動後2時間おきにプロキシサーバ経由でマルウェア対策ソフトベンダのサイトからマルウェア定義ファイルをダウンロードし、更新している。マルウェア対策ソフトでは、ファイルを読み書きするときにマルウェアスキャンする機能(以下、リアルタイムスキャンという)を有効にするとともに、全てのファイルをマルウェアスキャンする機能(以下、フルスキャンという)を、毎週火曜日12時に実行している。フルスキャン実行時、CPUの負荷を減らすために、圧縮ファイルは対象外としている。」

 このように、フルスキャンは毎週実行されますが、圧縮ファイルは対象外としています。

 ここでFさんが、圧縮ファイルを一時的に対象にしてフルスキャン実行の指示をしているのはなぜでしょう。

 改めて図3の説明を時系列で整理すると以下のようになります。

  • 5月21日9時 KさんがZIP形式のファイルをダウンロードし展開。展開したPDFは削除するも、ZIPファイル自体は削除せず。
  • 5月28日10時 マルウェアXに対応したマルウェア定義ファイルがリリース
  • 6月5日9時 KさんがZIP形式のファイルを再び展開。展開したPDFファイルがリアルタイムスキャンによって検知、削除される
  • 6月5日10時 マルウェアYに対応したマルウェア定義ファイルがリリース
  • 6月5日13時 フルスキャンによって別のファイルがマルウェアYとして検知、削除される

 6月5日のフルスキャンによってマルウェアYは検知されましたが、マルウェアXは検知されていません。

 また、フルスキャンは毎週実施されるので、その前は5月30日です。

 5月28日にマルウェアXに対応した定義ファイルがリリースされているので、本来であれば検知されるべきです。

 これはフルスキャンが圧縮ファイルを対象外にしているためであり、その存在を確認するため一時的に圧縮ファイルを対象にすることが分かります。

 G氏は、図3の(2)について、マルウェア対策ソフトでマルウェアが検知されたにもかかわらず、報告がなかったので、A社としての対策がとれなかったことへの改善が必要であると指摘した。Fさんは、図3及びG氏の指摘を踏まえ、(あ)~(え)の作業計画を作成した。

 (あ)設計部長に報告するために、情報漏えいの経緯をまとめる。

 (い)類似のマルウェア感染を防止する対策を検討する。

 (う)設計情報管理サーバへの不正ログイン対策を検討する。

 (え)サーバ及びDPCそれぞれの、マルウェア対策ソフトの状態と脆弱性修正プログラムの適用状況を集中管理する仕組みを導入する。

 Fさんは、(あ)~(え)の作業計画をE部長に報告し、実施についての了承を得た。

 (あ)について、Fさんは、情報漏えいの経緯をまとめ、E部長が設計部長に報告した。

 (い)について、Fさんは、類似のマルウェア感染を防止する対策として、今回の感染の経緯と類似のマルウェアへの注意点を車内に周知した。

 さらに、圧縮ファイル中のマルウェアが検知されなかったことについて、Fさんは、平常時も圧縮ファイルをフルスキャンの対象とすべきかをG氏に相談した。G氏は、平常時の運用では、圧縮ファイルをフルスキャンの対象にしなくてもDPCがマルウェアに感染するリスクは変わらないと答え、⑤その理由をFさんに説明した。Fさんは、圧縮ファイルをフルスキャンの対象外とするという設定は変えないことにした。

【出典:情報処理安全確保支援士試験 平成31年度 春期 午後2問2(一部、加工あり)】

⑤について、理由を50字以内で述べよ。:圧縮ファイルを展開すると、展開したファイルに対してリアルタイムスキャンが実行されるから

 前問の時系列の事象にあるように、マルウェアXに対応するマルウェア定義ファイルがリリースされた後は、圧縮ファイルの展開時にリアルタイムスキャンによりPDFファイルが検知、削除されています。

 したがって、DPCがマルウェアに感染するリスクは、フルスキャンでの検知とリアルタイムスキャンでの検知で変わりません。

 ただ、理屈では分かっても、マルウェアを含む圧縮ファイルを保存しているのは精神的にはよくないですよね。(試験と割り切って回答します)