平成29年度 秋期 情報処理安全確保支援士試験 午後1 問1
問1 ランサムウェアへの対策に関する次の記述を読んで、設問1〜4に答えよ。
B社は、従業員数300名の建築資材販売会社であり、本社、営業店10か所の他に倉庫がある。本社、各営業店及び倉庫のネットワークはIP-VPNで接続されており、インターネットとの接続は本社に集約されている。本社と営業店では、それぞれ、本社用PCと営業用PCから情報共有サーバ(以下、Gサーバという)を利用し、 Windowsのファイル共有機能を使って資料を共有している。本社用PC及び営業用PCでは、一般利用者権限でログオンすると、自動的にGサーバへもその権限でログオンされ、Gサーバ上の共有フォルダが各PCのGドライブとして自動的に割り当てられる。Gサーバ上の共有フォルダの利用者データ、本社用PCの利用者データ及び営業用PCの利用者データは、それぞれ、各コンピュータのローカルディスク上に設けられた一般利用者権限ではアクセスできない領域に1時間に1回、毎時0分に開始されるジョブによって、バックアップされる。ジョブのログには、バックアップの開始と終了の時刻、総ファイル数、ジョブ実行結果などが記録される。
B社は、販売及び在庫管理を行うソフトウェアを独自に開発し利用している。受注から出荷までの業務を管理するWebアプリケーションソフトウェア(以下、業務APという)は、販売及び在庫管理用のWindowsサーバ(以下、Dサーバという)上で稼働している。B社の全てのPCは、ログオン時に、Dサーバへも一般利用者権限で自動的にログオンされ、Dサーバ上の共有フォルダが、Windowsのファイル共有機能を使って各PCのDドライブとして自動的に割り当てられる。出荷業務は、倉庫に設置された作業用PCに、無線ハンディターミナル(以下、HTという)を接続して行う。各PCで用いるB社のWindowsアプリケーション(以下、Aアプリという)は、業務APにHTTP over TLSで接続する機能、及び出荷指示情報が記載されたファイル(以下、出荷指示ファイルという)を読み書きする機能をもっている。
B社のシステム構成を図1に、受注から出荷までの業務の流れを図2に示す。
〔セキュリティインシデントの発生〕
ある日の9:50に、出荷担当者のVさんから、ITシステム担当者のL君にAアプリの障害の連絡が入った。L君がDサーバ上の共有フォルダを確認したところ、出荷指示ファイルが破損しており、Aアプリで読込みエラーが発生していた。L君は、原因究明よりも、業務の再開を優先するため、業務APの管理機能を使って出荷指示ファイルを再出力して復旧させた。このとき、L君は、①破損した出荷指示ファイルを削除せず、別のフォルダに移動しておいた。後に、このファイルが、調査に役立った。
復旧させた直後、10:30に、営業担当のSさんからL君に、暗号化されたファイルを取り戻したければ手順に従うよう指示する脅迫文が、営業用PC05のデスクトップ画面に表示されているという連絡が入った。また、営業用PC05で一部のファイルを開くことができなくなっていた。L君は、営業用PC05がマルウェアに感染したと判断し、営業用PC05をネットワークから切り離すようSさんに指示した。
L君は、Dサーバの出荷指示ファイルも営業用PC05と同じように開くことができなくなっていたことから、Dサーバも同じマルウェアに感染した可能性があると考え、一連の事象を上司に報告した。上司と相談した結果、業務を一時停止し、Dサーバをネットワークから切り離し、従業員に注意喚起をした後、セキュリティ専門会社U社のJ氏に協力を依頼して、調査を行うことにした。
〔セキュリティインシデントの調査〕
L君とJ氏は、感染経路と影響範囲を特定するために、営業用PC05とDサーバからログファイルやメモリダンプなどを収集して、表1のタイムラインを作成した。
受信した電子メールを調査したところ、PDFファイルに偽装したマルウェアが添付されていた。ファイル名にUnicode制御文字の(a:RLO)が使われていたので、実際のファイル名はinvoice.fdp.exeであるが、表示上はinvoice.exe.pdfとなっていた。SさんはPDFファイルだと思って添付ファイルを開いたとのことで、開いたときにマルウェアのプログラムが実行されたと考えられた。差出人はB社従業員になっていたが、メールヘッダの(b:Received)フィールドで、経由したメールサーバを調べたところ、社外から送信されていたことが分かった。
a:RLO
ファイル名:invoice.fdp.exeをinvoice.exe.pdfに見せかけるとは、fdp.exeの部分を後ろから並べたexe.pdfとしていることです。このようなことのできるUnicode制御文字は、RLO(Right-to-Left Override)になります。RLOを使用すると、文字列の一部を右から左に表示することができます。
これは、各国の言語の記述の方法において、英語など多くが左から右に書かれるのに対し、アラビア語など一部の言語が右から左に書かれることに対応するための制御文字になります。
b:Received
経由したメールサーバが記載されているのは、メールヘッダのReceivedフィールドになります。
Sさんに割り当てられている営業利用者05に与えられているのは、一般利用者権限なので、営業用PC05では、OSのシステムファイルは暗号化されず、Sさんが作成したファイルだけが暗号化されていた。L君は、管理者権限を使って営業用PC05にログオンし、マルウェアを除去した上で、②複数世代のバックアップデータの中から、暗号化される直前の世代のバックアップデータを選択し、それを使ってファイルを復元した。
②について、復元に利用するバックアップデータを選択する際、感染開始時刻と、何の時刻を比較すべきか?:バックアップ終了時刻
バックアップデータに関しては、「Gサーバ上の共有フォルダの利用者データ、本社用PCの利用者データ及び営業用PCの利用者データは、それぞれ、各コンピュータのローカルディスク上に設けられた一般利用者権限ではアクセスできない領域に1時間に1回、毎時0分に開始されるジョブによって、バックアップされる。ジョブのログには、バックアップの開始と終了の時刻、総ファイル数、ジョブ実行結果などが記録される。」とあります。
暗号化される直前の世代のバックアップデータとしては、感染開始時刻より前にバックアップが終了しているものを選択する必要があり、ログのバックアップの終了時刻を比較対象にする必要があります。
次は、マルウェアに関する、L君とJ氏の会話である。
L君:営業用PC05が感染したマルウェアはどのようなものなのでしょうか。
J氏:今回のマルウェアは、ランサムウェアXと呼ばれるものです。ランサムウェアXは、アクセス可能なドライブをドライブレターのアルファベット順に探し、見つけたドライブ内のファイルを暗号化して上書き保存します。内蔵ドライブ、外付けドライブ、ネットワークドライブが対象です。暗号化の対象となるファイルは、文書ファイルなど約60種類の拡張子をもつファイルです。対象となるファイルを全て暗号化した後で、脅迫文を画面に表示します。
L君:ファイルが暗号化されていたので、Aアプリで読込みエラーが発生したわけですね。しかし、Dサーバは、どのようにして感染したのでしょうか。
J氏:ランサムウェアXによって、③Dサーバ上のファイルが暗号化されたと考えられますが、Dサーバ自体が感染した形跡はありません。
③について、感染していないDサーバも、ランサムウェアXによってファイルが暗号化された。その原因となる、営業用PCの設定とランサムウェアXの特徴は?:(営業用PCの設定)Dサーバ上の共有フォルダをネットワークドライブとして割り当てる。/(ランサムウェアXの特徴)ネットワークドライブ上のファイルも暗号化の対象となる。
営業用PCとDサーバについて、「B社の全てのPCは、ログオン時に、Dサーバへも一般利用者権限で自動的にログオンされ、Dサーバ上の共有フォルダが、Windowsのファイル共有機能を使って各PCのDドライブとして自動的に割り当てられる。 」とあるように、PC上のDドライブにDサーバの共有フォルダが利用可能な状態になっています。
また、「ランサムウェアXは、アクセス可能なドライブをドライブレターのアルファベット順に探し、見つけたドライブ内のファイルを暗号化して上書き保存します。内蔵ドライブ、外付けドライブ、ネットワークドライブが対象です。」とあるように、ランサムウェアXは、ネットワークドライブ上のファイルも暗号化対象となります。
L君:Gサーバ上のファイルへの影響はどうでしょうか。
J氏:Dサーバ上のファイルの暗号化が完了した後で、Gサーバ上のファイルを暗号化している可能性があるので調査が必要です。
Gサーバを調査したところ、共有フォルダのファイルが暗号化されていることが分かった。しかし、Gサーバ上に取得しているバックアップデータを使って、ファイルを復元することができたので、大きな影響はなかった。
【出典:情報処理安全確保支援士試験 平成29年度秋期午後1問1(一部、加工あり)】
ランサムウェアXが起動した直後に感染を検知し、営業用PC05をネットワークから切り離していれば、今回の被害を一部防ぐことができたと考えられる、どのような被害を防ぐことができたか?:DサーバとGサーバのファイルの暗号化
今回の被害であるファイルの暗号化は、PCの内蔵ドライブ、外付けドライブ、ネットワークドライブが対象です。このうち、PCをネットワークから切り離すと、ネットワークドライブであるDサーバ、Gサーバのファイルだけは、被害に遭わなくてすみます。