インシデント初動対応【平成29年度 春期 情報処理安全確保支援士試験 午後2 問1 設問1】
平成29年度 春期 情報処理安全確保支援士試験 午後2 問1 設問1
問1 マルウェアの解析に関する次の記述を読んで、設問1〜6に答えよ。
R社は、インターネット上でショッピングモール(以下、ECサイトという)を運営する、従業員数3,000名の企業である。ECサイトの総店舗数は5,000名、会員数は300,000名である。
〔R社のネットワーク構成と組織〕
図1は、R社のネットワーク構成である。
R社内では無線LANを使用していない。また、業務用PCとEC管理PCを併せて社内PCと呼んでいる。
R社では、内部Webサーバに対してサーバ証明書を発行するためにプライベートCAを有しており、そのルート証明書を社内PCにインストールしている。プライベートCAは、必要に応じてサーバ証明書を発行することができる。プライベートCAはネットワークに接続されていない。
表1は、R社のネットワーク機器と役割である。
R社には、情報システム部(以下、IS部という)、開発部、サポート部、営業部及び総務部がある。R社の各部の役割を表2に示す。
サポート部がECサイトの運用管理を行う際は、EC管理PCを使用している。事務用PCからFW2を経由したECサイトへのアクセスは、FW1によって遮断される。社内PCには、パッチ管理プログラムがインストールされていて、パッチ配信サーバから脆弱性修正プログラムの配信を受けると、自動的に脆弱性修正プログラムが適用される。脆弱性修正プログラムは、公表から1か月以内に配信する運用としている。社内PCの利用者には管理者権限を与えておらず、利用者が勝手にプログラムをインストールすることはできない。
〔不審な通信の発見〕
IS部では、セキュリティ監視業務の一環として8時間ごとにプロキシサーバのアクセスログを確認している。ある日の正午過ぎ、その日の午前4時から正午までのプロキシサーバのアクセスログの集計情報を確認していたIS部のU君は、特定の社内PCから特定のサーバに多数のHTTPS通信が行われていることを発見した。U君は不審に思い、アクセスログを急いで調査した結果、次のことが判明したので、それを午後0時30分にIS部のT部長に報告した。
・1台の事務用PCから、社外の同一サーバ(以下、被疑サーバという)に対して多数のHTTPS通信が、およそ30分おきに行われている。
・HTTPS通信が行わるごとに、数100kバイトのデータを送信している。
〔インシデントへの初動対応〕
報告を受けたT部長は、インシデントが発生したと判断して、IS部内に設置されているCSIRTの責任者であるV課長に対してインシデント対応を開始するよう指示した。V課長は、CSIRTメンバのM君を呼び、対応を開始するよう指示した。M君は、図2に示すインシデント対応規定に従って、表3の順序で初動対応を行った。
①について、該当する情報は?(選択肢)
PCで「電源をオフにすると消去されてしまう情報」とは、メモリ上に展開されている情報ですので、選択肢で該当するものは以下のとおりです。
・HDDのパーティションテーブルの情報:不正解
・OSのバージョンの情報:不正解
・画面に表示されているウィンドウの名称一覧:正解
・起動しているプロセスの一覧:正解
・脆弱性修正プログラムの適用状況:不正解
a:プロキシサーバ
不審な通信に対する初動対応の最初に実施することは、送信元特定のためのログ調査となっています。
まず、不審な通信については、「プロキシサーバのアクセスログの集計情報を確認していたIS部のU君は、特定の社内PCから特定のサーバに多数のHTTPS通信が行われていることを発見した」とあります。
すでにプロキシサーバで送信元が特定されていますが、改めて確認しましょう。
表1(ネットワーク機器と役割)で、プロキシサーバは「社内PCから社外のWebサーバへのアクセスを中継する。本サーバ以外から社外のWebサーバへの直接アクセスは、FW1で遮断される。」 とあります。
したがって、「プロキシサーバのログから、被疑サーバを宛先としたエントリを抽出し、送信元IPアドレスとアクセス時刻を洗い出した」となります。
b:DHCPサーバ
「アクセス時刻に送信元IPアドレスを使用していた不審PCのMACアドレスを特定した」とあるように、IPアドレスとMACアドレスを紐付ける情報を確認しています。
送信元IPアドレスから直接、不審PCが特定できないということは、PCには固定のIPアドレスを割り当てておらず、ネットワークに接続するたびに自動的に付与されるということ、つまり、DHCPで運用されていると想像がつきます。
表1(ネットワーク機器と役割)で、DHCPサーバは「事務用PCに対して、DHCPサービスを提供する。」とあります。
したがって、DHCPサーバのログ「DHCPによる割当て結果」から不審PCのMACアドレスを特定しています。
午後1時、不審PCを回収して解析室に設置した後、M君は初期判定を開始した。初期判定は図3に示すIS部のマルウェア初期判定ガイドラインに従って実施した。
M君が図3中の解析チェックリストの(2)について通信の有無を解析したところ、該当する通信を発見した。その通信は、被疑サーバを宛先とした通信であった。M君は、不審PCがマルウェアに感染している疑いがあると判定し、即座にV課長に報告した。不審PCは、マルウェア感染の疑いが濃くなってきたので、CSIRTでは被疑PCという名称で呼ぶことにした。
〔インシデントへの二次対応〕
V課長は、次の指示を出した。
・M君に対して、図3中の解析チェックリストの(3)、(4)について解析した後、詳細解析を開始すること
・CSIRTメンバのG君に対して、被疑PCの利用者及び所属部署に連絡し、聞き取り調査をすること
・CSIRTメンバのZ君に対して、ECサイトへの影響の有無を調査すること
G君が、被疑PCの利用者であるSさんから聞き取り調査をした結果は次のとおりであった。
・昨日まで出張が続いていたので、被疑PCの電源を入れるのは3か月ぶりであった。
・朝、被疑PCの電源を入れ、午前9時30分までの間、Webブラウザを開いて幾つか社外のWebページを閲覧した。その後、今まで会議に出席していたので、それ以外は被疑PCを操作していなかった。その間、被疑PCにはログオンしたままであった。被疑PCは、無操作状態でもスリープ状態にならない設定であった。
・会社から貸与されている出張用スマートフォンでメールを読んでおり、今日は被疑PCのメールソフトを起動していない。
G君は、念のため各種ログを調査したが、聞き取り調査の結果との矛盾はなかった。Z君が実施した調査では、ECサイトへの影響は一切発見できなかった。〔マルウェアの詳細解析〕
M君が解析室に戻り、図3中の解析チェックリストの(4)についてファイルの差異を解析したところ、不審なファイルを発見した。その後、被疑PCを図4の詳細解析環境に接続し、通信の観測を続けた。表4は、詳細解析環境内の各サーバの役割である。
被疑PCの通信について、観測の結果は次のとおりであった。
(ⅰ)解析用認証サーバに、認証を要求する。
(ⅱ)解析用プロキシサーバを経由して被疑サーバにHTTPS通信を行おうとする。
(ⅲ)被害サーバ以外を宛先としてHTTP/HTTPS通信は行わない。
(ⅳ)被疑PCと同一サブネット上のIPアドレスに対して、何らかのアクセスをする。
このうち、アクセスの内容が不明であった(ⅳ)を詳細に解析した結果、社内PCのOSで以前発見された脆弱性(以下、脆弱性Kという)を突いて攻撃を仕掛けていることが判明した。脆弱性Kは、2か月ほど前に脆弱性修正プログラムと併せて公開されており、R社でも社内PCに脆弱性修正プログラムを配信していた。
被疑PCが(ⅱ)と(ⅳ)の通信を行っている最中に、動いているプロセスをM君が調査したところ、マルウェアと思われるプロセスを発見した。発見したプロセスは、一通りの処理を終えると自身のファイルの隠蔽処理を行うとともに、自身を所定の時間経過後に起動するための設定をOSに対して組み込み、終了することが判明した。
【出典:情報処理安全確保支援士試験 平成29年度春期午後2問1(一部、加工あり)】