HDDの証拠保全(ファイル単位ではなくセクタ単位で)【情報処理安全確保支援士試験 平成31年度 春期 午後2 問1 設問2】

情報処理安全確保支援士試験 平成31年度 春期 午後2 問1 設問2

問1 マルウェア感染と対策に関する次の記述を読んで、設問1〜6に答えよ。

(略)

【問合せ用PCの調査】

 状況の報告を受けたR課長は、問合せ用PCの調査を指示した。P君は、決められたインシデント対応手順に従い、まず問合せ用PCのHDDのコピー(以下、複製HDDという)を作成した。コピーは①ファイル単位ではなくセクタ単位で全セクタを対象とした。原本であるHDDはそのまま保全した。次に、予備のD-PCを新たな問合せ用PCとして設定して、問合せメールへの回答業務を継続できるようにした。

①について、P君がこのようにコピーしたのは、何をどのような手段で調査することを想定したからか。調査する内容を20字以内で、調査の手段を25字以内で具体的に述べよ。:(内容)削除されたファイルの内容/(手段)空きセクタの情報からファイルを復元する。

 HDDのセクタというのは、円盤状の記録媒体における最小の記録単位のことです。

 HDD上のファイルは、画面操作でファイルを削除したりするだけでは完全に消去されません。目次に相当するインデックスが削除されるだけです。

 そして、セクタは空きセクタとして管理されますが、他のデータで書き込まれるまで、データが残っている状態となります。

 HDDのコピーにおいては、ファイル単位で実施する場合は最新のファイルのみが対象であり、古いバージョンや削除されたファイルはコピーされません。

 一方、セクタ単位で実施する場合は更新前の古いバージョンのファイルや、削除されたファイルなどHDDに残っている全データが対象となります。

 マルウェアは感染した痕跡を消すために、感染した自分自身のファイルや関連したファイルを削除することがあります。

 セクタ単位でコピーすることでこれらのファイルを復元させ、マルウェア感染の調査に役立つ情報を得ることができます。

【感染経路の調査】

 P君が、複製HDDの中に残っていた直近6か月分の問合せメールについて調査したところ、本文にURLが記載されたメールが幾つかあった。その全てのURLのサイトを調査したが、どのサイトも改ざんの報告はなく、閲覧したとしてもマルウェアに感染するおそれがないサイトだった。

 問合せメールによるマルウェア感染がC&Cサーバとの通信の原因である可能性は低いと考えたP君は、調査方針をW主任に相談し、複製HDD内のログ及び関連機器内のログを調査することにした。その結果、図2の調査結果が得られた。

f:id:aolaniengineer:20200517084620p:plain

 この調査結果から、P君は、攻撃者がBさんの利用者IDとパスワードを入手し、それらを利用して無線LAN経由で問合せ用PCに不正にログオンしたと判断した。

 そこで、W主任は、不正なPCをW-APに接続させないための対策として、IEEE 802.1X認証の方式をEAP-TLSに変更する案を提案した。

 また、複製HDDの分析を続けたところ、マルウェアと思われるファイルが残っており、実行されていた痕跡があった。

【出典:情報処理安全確保支援士試験 平成31年度 春期 午後2問1(一部、加工あり)】

Follow me!