マルウェア感染と調査【平成29年度 春期 情報処理安全確保支援士試験 午後2 問2 設問2】

平成29年度 春期 情報処理安全確保支援士試験 午後2 問2 設問2

(略)

f:id:aolaniengineer:20200225041529p:plain

(略)

f:id:aolaniengineer:20200225041603p:plain

(a:SMTP over TLS、b:MTA(Mail Transfer Agent))

 外部メールサーバの転送機能の設定を表3に示す。この設定によってオープンリレーが防止されている。

f:id:aolaniengineer:20200225041637p:plain

(c:内部メールサーバ)

(略)

f:id:aolaniengineer:20200225041739p:plain

(略)

〔マルウェア感染と調査〕

 5月11日13時10分に、システム部Web管理グループのHさんからシステム部運用グループのE主任に、”PCのフルスキャン中にPDFファイルがマルウェアXとして検出され、駆除された”との連絡があった。5月9日に、Hさんは次の操作を行ったとのことであった。

・このPDFファイルは、公開Webサーバで公開するコンテンツの一部であり、暗号化された形でコンテンツ作成業者B社のJ氏からメールで送信されたファイルの一つである。送信されたファイルを、一旦、PC上で復号し、展開した。

・復号し、展開したファイルをコンテンツ管理Webサーバにアップロードした。

・コンテンツ管理Webサーバでコンテンツの内容を確認した。

 E主任は、念のために、各部のサーバ管理者にサーバのフルスキャンを依頼した。フルスキャンの結果、コンテンツ管理WebサーバではマルウェアX及びマルウェアYが、営業部サーバではマルウェアYが検出され、駆除された。E主任は、上司のD部長に一報するとともに、部下のFさんに調査を指示した。

 Fさんが行った調査の結果と感染へ対処を図2に示す。

f:id:aolaniengineer:20200227043025p:plain

f:id:aolaniengineer:20200227043103p:plain

 E主任とFさんは図2についてD部長に報告した。複数のサーバでマルウェアが検出されたことから、D部長は、セキュリティ対策の見直しが必要と判断し、セキュリティ専門業者のC社に助言を求めることにした。C社のP氏が担当することになった。

 FさんとP氏は、図2を精査した。P氏は、追加の調査事項として、次の2項目を挙げた。

・マルウェアXに感染したサーバからC&CサーバへのHTTP通信及びHTTP over TLS通信の有無を確認するために、(e:プロキシサーバ)のログから(f:URLがマルウェアX中に保持されたURLである)という条件に合致するログを抽出する。

e:プロキシサーバf:URLがマルウェアX中に保持されたURLである

マルウェアXに感染したサーバからC&CサーバへのHTTP通信及びHTTP over TLS通信の有無を確認するには、C&Cサーバに関する情報でフィルタできれば良さそうです。

図2(2)の「マルウェアXに関する情報」に、「内部にC&C(Command and Control)サーバのURLが保持されている」とあり、この情報を用いてログを確認します。

社内からインターネットへのHTTP/HTTP over TLSの通信にはプロキシサーバが利用される場合が多いので、問題文で探すと、表2のプロキシサーバで、「PC、内部LANのサーバ、及び業務LANのサーバから、DMZ、及びインターネット上のWebサーバへのHTTP通信及びHTTP over TLS通信を中継する」とあります。

また、ログ取得機能に「送信元IPアドレス、URL、HTTPヘッダ情報及び通信データサイズを記録する」とあり、このURLを用いてログを抽出すればいいと分かります。

・(g:外部メールサーバ)のログから、マルウェアYによって送信されたメールが(h:インターネット上のサーバに転送された)という条件に合致するログを抽出する。

g:外部メールサーバh:インターネット上のサーバに転送された

マルウェアYによって送信されたメール、つまり、ここでは社内の秘密情報などが外部に流出したかどうか確認するための調査を実施すると考えます。そのためには、メールサーバのログを確認すれば良さそうです。

表2と表3から、インターネット向けのメールは外部メールサーバで転送され、ログとして「メールの転送結果、転送元IPアドレス、転送先メールアドレス、送信者メールアドレス、宛先メールアドレス及びメールサイズ」とあり、転送先・宛先メールアドレスがインターネットであるログを抽出すればいいと分かります。

 Fさんは、P氏が挙げた調査を実施した。

 続いて、FさんとP氏は、マルウェアYへの対策について検討した。次は、その際の会話である。

P氏:マルウェアYは、C&Cサーバから指示を受け取ります。マルウェアYと同様のタイプのマルウェアに感染した場合に備えて、①外部DNSサーバと内部DNSサーバのDNS問合せに関する設定を変更してください

①について、外部DNSサーバと内部DNSサーバのDNS問合せに関する設定変更の内容は?:

・外部DNSサーバ:内部DNSサーバからのDNS問合せを拒否する。

・内部DNSサーバ:インターネット上のサーバ名についてのDNS問合せを拒否する。

マルウェアYは、 図2に「マルウェア中に多数のFQDNが保持されている」「OSの設定で指定されたDNSサーバに対して、マルウェアに保持されたFQDNの全てのTXTレコードを問い合わせ、得られた文字列を指示として解釈し、動作する」とあるように、マルウェアYからインターネット上のDNSのやり取りで得られたTXTレコードを利用して攻撃となる動作を実行するようです。

内部からのDNS問い合わせの流れを確認すると、表4に内部DNSサーバで「解決できないDNS問合せは、外部DNSサーバにDNS問合せを送る」とあり、表2の外部DNSサーバで「オープンリゾルバ対策が行われており、再帰的なDNS問合せを許可するのは、公開Webサーバ、外部メールサーバ、プロキシサーバ及び内部DNSサーバだけである」とあるように、内部→内部DNSサーバ→外部DNSサーバ→外部となります。

ここで、内部からインターネットへのWebサーバへのアクセスはプロキシサーバを経由するため、このDNS問合せは、内部→プロキシサーバ→外部DNSサーバ→外部で実行すれば良いことに気づくと思います。

これは、内部DNSサーバでは社内専用ドメイン以外の名前解決は行わないことを意味します。

そのため、内部DNSサーバ→外部DNSサーバのDNS問合せを拒否するように設定変更すれば良さそうです。

Fさん:はい、わかりました。

P氏:さらに、内部DNSサーバで、DNS問合せの内容とその結果をログに記録すると、マルウェアYと同様のタイプのマルウェアの検出に役立ちます。

Fさん:マルウェア中に多数のFQDNがあり、それぞれのFQDNに合致するログを抽出するのは時間が掛かりそうです。効率よく抽出するにはどうしたらいいでしょうか。

P氏:内部DNSサーバのログから(i:社内専用のドメイン名以外のFQDNが書かれている)という条件に合致するログを抽出する方法はどうですか。

Fさん:それならば、すぐにできます。

i:社内専用のドメイン名以外のFQDNが書かれている

上記で、内部DNSサーバでは社内専用ドメインの名前解決しか行わないようにしました。

したがって、社内専用ドメイン以外のFQDNを抽出するという条件であれば簡単に実行できそうです。

 FさんとP氏は、検討した結果を運用手順としてまとめた。

【出典:情報処理安全確保支援士試験 平成29年度春期午後2問2(一部、加工あり)】