ランサムウェアへの対策【情報処理安全確保支援士試験 平成29年度 秋期 午後1 問1 設問3】

平成29年度 秋期 情報処理安全確保支援士試験 午後1 問1

問1 ランサムウェアへの対策に関する次の記述を読んで、設問1〜4に答えよ。

(略)

f:id:aolaniengineer:20200305164255p:plain

f:id:aolaniengineer:20200305164318p:plain

(略)

〔被害拡大防止策の実施〕

 L君は、PCがランサムウェアに感染した場合に備えて、サーバへの被害を最小限にする対策を講じることにした。Dサーバ上の出荷指示ファイルを格納しているフォルダのアクセス権限が必要最小限になるよう、表2のとおりに見直しを行った。

f:id:aolaniengineer:20200307041752p:plain

Dサーバ上の出荷指示ファイルに対して必要最小限のアクセス権限を確認するために、その運用方法を図2から読み取っていきます。

  • 出荷指示ファイルは、業務APによって、本社スタッフが登録した出荷指示情報が登録されたことをトリガに出力される
  • 出荷指示ファイルは、出荷担当者が内容の確認と更新をすることができる
  • 営業担当者及び本社スタッフは、出荷指示ファイルを閲覧し、最新の出荷状況を確認する。ただし、内容を確認するだけで更新はしない

以上の内容から、アクセス権限は以下のように見直します。

  • 出荷担当者グループ:読み「可」、書き「可」
  • 営業担当者グループ:読み「可」、書き「不可」
  • 本社スタッフグループ:読み「可」、書き「不可」

 L君は、Gサーバについても、ファイルの被害が最小限になるように、Gサーバ上の共有フォルダのアクセス権限を見直した。

 L君は、ランサムウェアによって暗号化されたファイルを、バックアップから復元する以外に元に戻す方法はないかJ氏に質問した。J氏によると、ランサムウェアには、ファイルの暗号化に共通鍵暗号だけを使っているタイプと、共通鍵暗号と公開鍵暗号を組み合わせて使っているタイプが発見されている。それぞれファイルを復号可能なケースが報告されているとのことであった。共通鍵暗号だけを使うタイプでは、ランサムウェアのプログラム内にその鍵がハードコードされていれば、ランサムウェアの検体を解析することによって、その鍵を入手してファイルを復号できる可能性がある。一方、共通鍵暗号と公開鍵暗号を組み合わせて使うタイプでは、PCのメモリ上に一時的に作成する共通鍵で対象ファイルを暗号化した後、その共通鍵をプログラム内にハードコードされた公開鍵で暗号化した上で、メモリ上からは共通鍵を消去するので、④このタイプでは、検体を解析しても、ファイルを復号することは難しい。ただし、ランサムウェアXの場合、暗号化に使用した共通鍵をメモリ上から消去しないため、⑤PCをハイパネーション機能によって休止状態で保管しておくことによって、セキュリティベンダから復号ツールが提供されたときに、復号できる場合があるとのことであった。

④について、検体を解析してもファイルの復号が困難である理由:復号に必要な共通鍵や秘密鍵が検体に含まれていないため

共通鍵暗号と公開鍵暗号を組み合わせて使うタイプのランサムウェアでは、検体から得られるものは公開鍵のみで、ファイル暗号に用いる共通鍵を得ることはできません。

公開鍵を復号すると共通鍵を得られますが、復号には公開鍵に対する秘密鍵が必要であり、これも検体から得ることはできません。

⑤のように。PCを休止状態で保管しておけばファイルを復号できる可能性があるが、シャットダウンしてしまうとその可能性が低くなる。可能性が低くなる理由を、ランサムウェアXの動作を踏まえて述べよ:PC内で一時的に作成されたメモリ上の共通鍵が消えてしまうため

ランサムウェアXでは、暗号化に使用した共通鍵をメモリ上から消去しないとのことで、PCを休止状態で保管するとメモリの状態がディスクに保存された状態となっているため、共通鍵を得ることができます。

これに対し、PCをシャットダウンしてしまうとメモリ上の共通鍵は消滅してしまい、得ることができなくなります。

 L君は、ランサムウェアに感染した場合の対応手順やツールの整備を上司に進言した。

【出典:情報処理安全確保支援士試験 平成29年度秋期午後1問1(一部、加工あり)】

Follow me!