スクリプトの特徴による攻撃拡散有無の調査【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 設問4】

情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 設問4

問3 ソフトウェアの脆弱性対策に関する次の記述を読んで、設問1〜5に答えよ。

(略)

f:id:aolaniengineer:20200419141754p:plain

f:id:aolaniengineer:20200419142449p:plain

(略)

 FW1はステートフルパケットインスペクション型で、インターネットと通販システム間の通信は、インターネットからEサーバ及び待機サーバへのHTTPSアクセスとその応答が許可されているそのほかのインターネットとDMZ内のサーバ間の通信は、各サーバのサービスに必要なものだけ許可している

 プロキシサーバ が中継するのはPCセグメントからインターネットへの通信だけである

(略)

 脆弱性Tの情報をS君が発見してから2日後、Eサーバの日次バッチ処理が異常終了するという事象が発生した。S君が確認したところ、日次バッチプログラムの内容が、見覚えのないスクリプト(以下、スクリプトUという)に書き換えられていた。スクリプトUは、B社と関係のないサイトZからプログラムをダウンロードして起動したり、コマンド履歴を参照したりするなどの内容であった。

(略)

【インシデントの調査】

 依頼を受けたセキュリティ専門会社は、インシデントを調査し、3日後に調査結果をB社に報告した。セキュリティ専門会社による調査結果を図3に示す。

f:id:aolaniengineer:20200422045842p:plain

③について、コマンド履歴にSSHコマンドの接続先IPアドレスが含まれていた場合、スクリプトUの内容を考慮すると更に調査が必要となる。仮に接続先IPアドレスとして外部メールサーバが履歴に含まれていた場合、どの機器のログで、何を調査すべきか。調査すべき機器の名称を図1中から選び答えよ。また、調査すべき内容を30字以内で、具体的に述べよ。:①外部メールサーバ又はログ管理サーバ/外部メールサーバからサイトZへの接続の有無を確認する。②Eサーバ又はログ管理サーバ/外部メールサーバへのSSHコマンドの接続の有無を確認する。③FW1又はログ管理サーバ/サイトZとHTTPを使用した通信を確認する。

スクリプトUの内容は図3から以下のとおりで、それぞれどの機器のログで確認できるでしょうか。

  1. API、及びAPIを動作させるのに必要な複数のライブラリをサイトZからHTTPを使ってダウンロード
  2. APIを実行
  3. (コマンド履歴からSSHコマンドの接続先IPアドレスが抽出された場合)SSHコマンドで接続を試行

まず、1項については、Eサーバと外部メールサーバ、及び、FW1で、サイトZへの接続の有無を確認すれば良さそうです。

ただし、EサーバはFW1で「インターネットからEサーバ及び待機サーバへのHTTPSアクセスとその応答が許可されている」とあり、そもそもサイトZへの接続ができません。

また、全サーバのログはログ管理サーバでも保存されているので、こちらでも確認できそうです。

次に、2項については、表1に「各サーバのログには、OS上で実行されるSSHなどのコマンド履歴、アプリケーションやミドルウェアのイベント記録がある」とありますが、API実行がログに記録されているかは不明です。

3項については、Eサーバ及びログ管理サーバで、外部メールサーバへのSSHコマンドの接続の有無を確認すれば良さそうです。

 重大な被害は認められなかったものの、脆弱性Tが悪用されて改ざんが行われていたことが明らかになったことから、パッチを適用することにした。パッチを適用し、サービスを再稼働できたのは、インシデント発生から10日後だった。

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問3(一部、加工あり)】