LAN分離に対するマルウェア感染被害の評価【情報処理安全確保支援士試験 平成30年度 春期 午後1 問3 設問2】

情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

今回は、「LAN分離に対するマルウェア感染被害の評価」を取り上げた「情報処理安全確保支援士試験 平成30年度 春期 午後1 問3 設問2」です。

問題文中、設問に該当する部分ですぐに解答を説明しています。

ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

情報処理安全確保支援士試験 平成30年度 春期 午後1 問3 設問2

問3 LAN分離に関する次の記述を読んで、設問1〜4に答えよ。

(略)

f:id:aolaniengineer:20200331140320p:plain

f:id:aolaniengineer:20200331140355p:plain

(略)

f:id:aolaniengineer:20200331143014p:plain

(略)

〔LAN分離案の検討

 B取締役とRさんは、表2のリスク2への対応として、新薬ファイルを保管している機器を収容するLAN(以下、研究開発LANという)と、それ以外の機器を収容するLAN(以下、事務LANという)に分離するLAN分離案を検討することにした。事務LANはインターネットとの通信を許可するが、研究開発LANはインターネットとの通信を一切許可しない。このLAN分離に伴い、社内PCは、研究開発LANだけに接続する研究開発用の研究開発PCと、事務LANだけに接続する一般事務用の事務PCに分かれる。研究開発員は、事務PCと研究開発用PCの2台を利用する。

 Rさんは、業務遂行のために必要な要件を研究開発員から聞き、図2にまとめ、ファイル転送のための中間LANを加えた図3のLAN分離案を作成した。

f:id:aolaniengineer:20200401044044p:plain

f:id:aolaniengineer:20200401044125p:plain

 この案では、研究開発LANと事務LANの間のファイル転送を行うために、ファイル転送サーバとして広く利用されているU社製の製品Zを導入する。図3中のFW1とFW2の設定内容を表3に示す。また、ファイルを転送する際の操作手順を図4に示す。

f:id:aolaniengineer:20200401044608p:plain

f:id:aolaniengineer:20200401044632p:plain

 LAN分離を進めると、研究開発PC及び研究開発用ファイルサーバは更新ファイルの提供を受けられなくなるので、新しい仕組みが必要になる。Rさんは、更新ファイル提供サービスと同じ動作をするパッチ配信兼マルウェア対策管理サーバ(以下、配信サーバという)を用意することにした。

 図3、表3及び図4を見たA氏は、幾つかのシナリオを仮定して図3のLAN構成で想定されるマルウェア感染被害について表4のとおり評価した。表5に、各OSを利用している機器を示す。

f:id:aolaniengineer:20200401045350p:plain

①について、A氏が低いと判断した理由は何か。40字以内で述べよ。:ファイル転送サーバから研究開発PCへの通信はFW2で禁止されているから

表4の項番1の内容から、マルウェアαは、HTTPを利用して能動的に感染を広げるもので、事務PCからファイル転送サーバが感染し、次にファイル転送サーバから研究開発PCに感染する動作を試みようとするものです。

この通信の流れを、図3のLAN分離案に沿って見ていきます。

まず、事務PCからファイル転送サーバへの感染ですが、これはFW1を経由する必要があります。FW1の設定内容は、表3から「事務PCからファイル転送サーバへの必要な通信」を許可しています。具体的には、図4の3項に「事務PCのWebブラウザからファイル転送サーバのダウンロード用URLにアクセスし、・・・」とあるように、HTTPでの通信を許可していることが分かります。

次に、ファイル転送サーバから研究開発PCへの感染ですが、これにはFW2を経由する必要があります。FW2の設定内容は、表3から「研究開発PCからファイル転送サーバへの必要な通信」を許可されますが、ファイル転送サーバから研究開発PC向けの通信を含む「他の全ての通信」は禁止されています。

したがって、ファイル転送サーバから研究開発PCへ感染する可能性は低いといえそうです。

可能性がゼロと言えないのは、例えば、研究開発PCがアクセスするアップロード用URLに不正なスクリプト等を用意して、研究開発PC側からマルウェアを取り込んでしまうような通信であれば、FW2を通過してしまうなど、様々なパターンが想定できるからと思います。

e:利用者ID、f:パスワード、g:アップロード用URL

マルウェアβは、表4の2項にあるように「製品Zのアクセス手順を組み込んだ」ものとなっています。その「マルウェアβが、e、f、gの情報を窃取して、ファイル転送サーバにアクセスした」とのことですので、製品Z(ファイル転送サーバ)を利用した操作手順が記載された図4(ファイルを転送する際の操作手順)を確認していきましょう。

図4の1項の「研究開発用PC」を「事務PC」に置き換えて読むと、「事務PCのWebブラウザからファイル転送サーバのアップロード用URLにアクセスし、表示される画面で利用者ごとに異なる利用者ID及びパスワードを入力してログインする」とあります。

したがって、マルウェアβは、これらの情報を窃取してファイル転送サーバにアクセスするシナリオとすれば良さそうです。

②について、A氏が低いと判断した理由は何か。50字以内で述べよ。:研究開発PCからファイル転送サーバにアクセスして、ファイルをダウンロードする必要があるから

事務PCに感染したマルウェアβにより、ファイル転送サーバに不正なファイルがアップロードされ、その不正なファイルが原因となって研究開発用PCが感染する可能性を考えるために、もう少し深掘りして見ます。

事務PCからファイル転送サーバに不正なファイルがアップロードされるのは、マルウェアβによって窃取した特定の利用者ID、パスワードでログインした状態で操作されると分かるでしょう。

その後、そのアップロードされた不正なファイルがどうやって研究開発用PCに影響していくかを考えるため、図4の3、4項を見ていきます。すると、図4の4項に「ログイン後に表示されるダウンロード画面では、その利用者IDでアップロードされたファイルの一覧が表示されるので、ファイルを一つ選択してダウンロードする」とあります。

したがって、不正なファイルが研究開発用PCに影響するためには、研究開発用PCからダウンロードする操作が必要になりそうです。研究開発用PCを操作する正規の利用者は、表示される不正なファイルについて、自身がアップロードしたものではないと判断できると思われるため、ダウンロードを実行しないと考えれらます。

f:id:aolaniengineer:20200401045415p:plain

 この結果から、図3のLAN分離案は研究開発LAN内の新薬ファイルの漏えい防止に有効だとの結論を得て、B取締役は社内ネットワークの変更を進めることにした。
【出典:情報処理安全確保支援士試験 平成30年度 春期 午後1問3(一部、加工あり)】