感染経路の特定と対処【平成29年度 春期 情報処理安全確保支援士試験 午後2 問1 設問5】

平成29年度 春期 情報処理安全確保支援士試験 午後2 問1 設問5

(略)

f:id:aolaniengineer:20200216154305p:plain

(略)

f:id:aolaniengineer:20200216154450p:plain

(略)

 G君が、被疑PCの利用者であるSさんから聞き取り調査をした結果は次のとおりであった。

・昨日まで出張が続いていたので、被疑PCの電源を入れるのは3か月ぶりであった。

・朝、被疑PCの電源を入れ、午前9時30分までの間、Webブラウザを開いて幾つか社外のWebページを閲覧した。その後、今まで会議に出席していたので、それ以外は被疑PCを操作していなかった。その間、被疑PCにはログオンしたままであった。被疑PCは、無操作状態でもスリープ状態にならない設定であった。

(略)

 M君が解析室に戻り、図3中の解析チェックリストの(4)についてファイルの差異を解析したところ、不審なファイルを発見した。

(略)

 被疑PCが(ⅱ)と(ⅳ)の通信を行っている最中に、動いているプロセスをM君が調査したところ、マルウェアと思われるプロセスを発見した。

(略)

〔感染経路の特定と対処〕

 V課長は、再感染を防止するために、M君に感染経路を特定するよう指示した。M君は、Sさんからの聞き取り調査の内容から、被疑PCが社外のWebページを閲覧した際にマルウェアに感染した可能性が高いと考え、表6の手順で感染経路の特定を目指した。

f:id:aolaniengineer:20200223162757p:plain

((a)はプロキシサーバ)

 確認したところ、URLの一覧に記載されたWebサイトの中で、インターネット上のECサービスに関するニュースを提供しているQ社のWebサイト内の1ページ(以下、Nページという)に、不自然な形でスクリプトが埋め込まれていることが発見された。このスクリプトは複雑であり、M君が読んでも動作を把握することができなかった。そこでV課長がNページを分析してみたところ、次のことが分かった。

・NページをWebブラウザで開くと、Q社のドメイン外のサイトからPDFファイルをダウンロードして、PDF閲覧ソフトで開く。

・Nページから不自然なスクリプトを削除したページをWebブラウザで開くと、Nページと表示に違いはないが、PDFファイルはダウンロードされない。

 V課長とM君は、Nページが改ざんされ、マルウェアを配布していると推測した。しかし、比較対照用PCをインターネットにアクセスできる環境とした上でNページを開いても、PDFの内容が表示されるだけで、不審なファイルや不審なプロセスが生成されることはなく、マルウェアに感染しなかった。

 困ったM君がV課長に相談したところ、④比較対照用PCの状態と、今日の勤務開始時刻時点の被疑PCの状態では、重要な点が異なっている可能性が高いので、(f:パッチ配信サーバ)のログを確認してみるようアドバイスを受けた。(f:パッチ配信サーバ)のログを確認したM君は、比較対照用PCの状態を、今日の勤務開始時刻時点の被疑PCと同一の状態にした上で、もう一度Nページにアクセスした。その結果、不審なプロセスや検体αなどの不審なファイルが生成されていた。このことによって、マルウェア(以下、マルウェアLという)に感染したことが分かった。

④について、どのような点が異なっていたか?:PDF閲覧ソフトの脆弱性修正プログラムの適用状況

比較対照用PCの状態と、今日の勤務開始時刻時点の被疑PCの状態を確認していきます。

まず、比較対照用PCは、図3の2項に「比較対照用PCとは、OS及びアプリケーションソフトウェアをインストールした後に、最新の脆弱性修正プログラムの適用やウィルス定義ファイルの更新を行った社内PCであり、インシデント対応開始時に作成する」とあります。したがって、比較対照用PCは今日時点の最新の脆弱性修正プログラムの適用やウィルス定義ファイルの更新が行われた状態であることが分かります。

一方、被疑PCは、「被疑PCの電源を入れるのは3か月ぶり」とあるように、今日時点の最新の脆弱性修正プログラムの適用やウィルス定義ファイルの更新が行われていない状態と考えられます。(ここは、PCの電源を入れてからどの時点で適用されるのか、問題文には具体的な説明が見当たりませんので、問題文から素直に読み取れる状況で考えます)

さらに踏み込んで考えます。

被疑PCでは、「NページをWebブラウザで開くと、Q社のドメイン外のサイトからPDFファイルをダウンロードして、PDF閲覧ソフトで開く」とあり、結果として不審なファイルやマルウェアと思われるプロセスが生成されています。

これに対し、比較対照用PCでは「Nページを開いても、PDFの内容が表示されるだけで、不審なファイルや不審なプロセスが生成されることはなく」とあります。

このPDFに関する動作の違いに着目すると、表1のパッチ配信サーバに「OSとPDF閲覧ソフトの脆弱性修正プログラムを社内PCに配信し、適用結果を収集する」とあります。

したがって、上記の被疑PCと比較対照用PCの状態の差異にあるように、PDF閲覧ソフトに関する脆弱性修正プログラムの適用状況が異なっている可能性が高いと判断できます。

f:パッチ配信サーバ

上記のとおり、パッチ配信サーバでの各PCの脆弱性修正プログラムの適用結果を確認することでPCの状態を確認することが可能です。

 この時点で、マルウェアLの感染経路はNページを閲覧したことによるものと判断することができた。この報告を受けたV課長は、次の対応策の実施をT部長に進言した。

・当面の間、社内PCからQ社のWebサイトへのアクセスを遮断する。

・過去1週間の(a:プロキシサーバ)のログを調査し、Q社のWebサイトを閲覧した社内PCを洗い出し、それらのPCについて、(a:プロキシサーバ)のログと(f:パッチ配信サーバ)のログを突き合わせ、⑤マルウェアLに感染する可能性があったかどうか判断する

・Q社に対して適切な方法で、Webサイトが改ざんされている旨を伝える。

⑤について、どのような場合に感染の可能性があったと判断するか?:PDF閲覧ソフトの脆弱性修正プログラムを適用する以前に、Q社のWebサイトを閲覧した場合

上記の比較対照用PCのように、PDF閲覧ソフトに関する脆弱性修正プログラムの適用がなさせれていれば、感染の可能性はありません。

したがって、PDF閲覧ソフトに関する脆弱性修正プログラムの適用時点より前に、Q社のWebサイトを閲覧した社内PCについては感染の可能性があったと判断できます。

 調査の結果、SさんのPC以外に感染した社内PCは存在しないことが確認できた。最後に、検体及び複製HDDを消去し、インシデント対応を無事終了した。

【出典:情報処理安全確保支援士試験 平成29年度春期午後2問1(一部、加工あり)】