インシデントのタイムライン作成【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 設問4】

情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 設問4

問2 セキュリティインシデントへの対応に関する次の記述を読んで、設問1〜5に答えよ。

(略)

f:id:aolaniengineer:20200501042742p:plain
(略)

f:id:aolaniengineer:20200502092150p:plain

f:id:aolaniengineer:20200502092222p:plain

(略)

f:id:aolaniengineer:20200502092307p:plain

f:id:aolaniengineer:20200502092339p:plain

f:id:aolaniengineer:20200502092406p:plain

f:id:aolaniengineer:20200502092429p:plain

(略)

 Cさんは、Dさんが利用している機器について、フォレンジックツールを用いて、ファイルAのファイルサイズとハッシュ値をキーにしてファイルを検索した。その結果、PC-Aにおいて、9月8日3時35分に、ファイル名は異なっていたものの、ファイルAと同じ内容のファイルが作成されていたことが分かった。また、プロキシサーバのログから、当該ファイルが社外に送信された可能性があることが分かった。

(略)

【インシデントQのタイムラインと措置】

 G部長は、調査結果の確認及び対応措置の検討についてF氏の支援を受けるようCさんに指示した。F氏の支援を受けてCさんが作成したインシデントQのタイムラインを表2に示す。

f:id:aolaniengineer:20200503150343p:plain

ア:9/4 14:31

タイムラインNo.1の事象「Dさんは、PC-AのWebブラウザで社外のサイトにアクセスし、ファイルWを格納したZIP形式のファイルをダウンロード」についてです。

この事象は、図7(調査結果)のDさんへのヒアリング情報にある「Dさんは、9月4日午後にPC-AのWebブラウザを用いてインターネットで挨拶文例を検索し、見つけたZIP形式のファイル”samplebun.zip”をダウンロードした。Dさんは、このファイルを展開した上で、中にあったファイルWをダブルクリックし参考にした。」に該当します。

そして、図6(プロキシサーバのログ)から該当する部分を探すと、4行目の以下のログが該当します。

4: [04/Sep/2018 14:31:15 +9000]”Get http://yyyy/dl/samplebun.zip HTTP/1.1″ 200 89331

 “http://zzzz/2018/ne/bunrei.html” “▲▲”

m:マルウェアLn:サイトM

まず、タイムラインNo.2の事象「ファイルWを取り出した上で、これをダブルクリックし、(m)を実行」について確認します。

ファイルWについては、表1(ファイルについての情報)に「ダウンローダの機能をもつマルウェアLである。サイトMからプログラムをダウンロードし、実行する。また、これらの処理と並行して文書作成ソフトを起動し、特定の文書を表示する。」とあります。

したがって、タイムラインNo.3の事象「マルウェアLは、サイトMにアクセスし、”new3.exe”をダウンロード」となります。

o:マルウェアK

タイムラインNo.4の事象「マルウェアLは(o)を実行」についてです。

No.3でダウンロードした”new3.exe”について、表1(ファイルについての情報)に「遠隔操作の機能をもつマルウェアKである。実行されると、IPnのサイトにアクセスして、そのレスポンスに従って動作する。また、指定されたファイルを、HTTPのPOSTメソッドを用いてIPnのサイトに送信する機能をもつ。」とあります。

イ:9/4 14:37p:遠隔操作

タイムラインNo.5の事象「マルウェアKは、IPnのサイトとの頻繁な通信を開始 攻撃者による(p)が始まったと推測」についてです。

図6(プロキシサーバのログ)からIPnとの通信が最初に登場するのは、8行目の以下のログです。

8: [04/Sep/2018 14:37:06 +9000]”Get http://IPn/news.php HTTP/1.1″ 200 5429 “-” “▽▽”

また、この通信以降、マルウェアKにより、攻撃者による遠隔操作が始まったと推測できます。

ウ:9/5 10:41

タイムラインNo.6の事象「攻撃者はPC-Bへのログインの試行を開始」の時刻「9/5 10:35」は、表9(Lastbコマンドの実行結果(ログイン失敗))の内容と一致します。

そして、タイムラインNo.7の事象「攻撃者はPC-Bへのログインに初成功」の時刻を表8(Lastコマンドの実行結果(ログイン履歴))で確認すると、「9/5 10:41」となります。

q:ファイルAr:PC-B

タイムラインNo.8の事象「(〜9/7 4:15)攻撃者は、漏えいが疑われるファイルのコピーと(q)を、(r)のローカルディスクに作成」についてです。

この事象は、図7(調査結果)のPC-Bについてにある以下が該当します。

PC-Bのディレクトリ”/tmp/20xx/”に次のファイルが置かれていた。

 ・新製品αの設計資料

 ・文書Yを含む新製品αの操作説明書の草稿

 ・そのほかのファイル

 ・上記のファイルを格納したアーカイブファイル(以下、ファイルAという)

ファイルAの所有者はDさんであり、作成日時は9月7日4時15分であった。

s:PC-A

タイムラインNo.9の事象「(9/8 3:35)攻撃者は、ファイルAと同じ内容のファイルを(s)のローカルディスクに作成」についてです。

関連する内容が問題文に「PC-Aにおいて、9月8日3時35分に、ファイル名は異なっていたものの、ファイルAと同じ内容のファイルが作成されていたことが分かった」とあります。

そして、タイムラインNo.10の事象「No.9で作成されたファイルがIPnのサイトに送信された可能性」に続きます。

 また、F氏による追加調査の結果、社内の文書Zが、9月22日までの間に、攻撃者によって社外に送信されていたことが確認された。文書Zは、それまでに漏えいしたものとは別の新製品βの設計書である。

 Cさんは、F氏の支援を受け、インシデントの封じ込め、根絶及び復旧のための措置を検討した。マルウェアLとマルウェアKについては、Y社から、これらを検知するためのマルウェア定義ファイルの提供を受け、全てのサーバ及びPCに適用することにした。Cさんは、そのほか必要と思われる措置をまとめて、G部長に提案した。G部長は、Cさんの提案を承認し、承認された措置が実施された。

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問2(一部、加工あり)】