平成29年度 春期 応用情報技術者試験 午後 問1
問1 マルウェア対策に関する次の記述を読んで、設問1〜5に答えよ。
T社は、社員60名の電子機器の設計開発会社であり、技術力と実績によって顧客の信頼を得ている。社内のサーバには、設計資料や調査研究資料など、営業秘密情報を含む資料が多数保管されている。
T社の社員は、社内LANのPCからインターネット上のWebサイトにアクセスして、情報収集を日常的に行っている。ファイアウォール(以下、FWという)には、業務上必要となる最小の通信だけを許可するパケットフィルタリングルールが設定されており、社内LANからのインターネットアクセスは、DMZのプロキシサーバ 経由だけが許可されている。T社の現在のLAN構成を図1に示す。
T社では、マルウェアの感染を防ぐために、PCとサーバでウィルス対策ソフトを稼働させ、情報セキュリティ運用規程にのっとり、最新のウィルス定義ファイルとセキュリティパッチを適用している。
〔マルウェア対策の見直し〕
最近、秘密情報の流出など、情報セキュリティを損ねる予期しない事象(以下、インシデントという)による被害に関する報道が多くなっている。この状況に危機感を抱いたシステム課のM課長は、運用担当のS君に、情報セキュリティ関連のコンサルティングを委託しているY氏の支援を受けて、マルウェア対策を見直すよう指示した。
S君から相談を受けたY氏がT社の対策状況を調査したところ、マルウェアの活動を抑止する対策が十分でないことが分かった。Y氏はS君に、特定の企業や組織内の情報を狙ったサイバー攻撃(以下、標的型攻撃という)の現状と、T社が実施すべき対策について説明した。Y氏が説明した内容を次に示す。
〔標的型攻撃の現状と対策〕
最近、標的型攻撃の一つである(a:水飲み場型)攻撃が増加している。(a:水飲み場型)攻撃は、攻撃者が、攻撃対象の企業や組織が日常的に利用するWebサイトの(b:Webページ)を改ざんし、WebサイトにアクセスしたPCをマルウェアに感染させるものである。これを回避するには、WebブラウザやOSのセキュリティパッチを更新して、最新の状態に保つことが重要である。しかし、ゼロデイ攻撃が行われた場合は、マルウェアの感染を防止できない。
a:水飲み場型、b:Webページ
水飲み場型攻撃とは、標的の組織や個人がよく利用するWebサイトを改ざんして、アクセスした利用者にウィルスなどのマルウェアを感染させる攻撃です。
マルウェアは、PCに侵入すると、攻撃者がマルウェアの遠隔操作に利用するサーバ(以下、攻撃サーバという)との間の通信路を確立した後、企業や組織内のサーバへの侵入を試みることが多い。サーバに侵入したマルウェアは、攻撃サーバから送られる攻撃者の指示を受け、サーバに保管された情報の窃取、破壊などを行うことがある。①マルウェアと攻撃サーバの間の通信(以下、バックドア通信という)は、HTTPで行われることが多いので、マルウェアの活動を発見するのは容易ではない。
①の理由
・バックドア通信の通信相手を特定する情報は、ログに記録されないから(不正解)
・バックドア通信の通信プロトコルは、特殊なので解析できないから(不正解)
・バックドア通信は大量に行われるので、ログを保存しきれないから(不正解)
・バックドア通信は通常のWebサーバとの通信と区別できないから(正解)
→バックドア通信で利用するHTTPは、通常のWebサイトへのアクセスと同じため、FWやプロキシサーバで区別することができません。
Y氏は、このようなマルウェアの活動を抑止するために、次の3点の対応策をS君に提案した。
・DMZに設置されているプロキシサーバとPCでの対策の実施
・ログ検査の実施
・インシデントへの対応体制の構築
〔DMZに設置されているプロキシサーバ とPCでの対策の実施〕
S君は、プロキシサーバとPCで、次の3点の対策を行うことにした。
・プロキシサーバで、遮断するWebサイトをT社が独自に設定できる(c:URLフィルタリング)機能を新たに稼働させる。
c:URLフィルタリング
URLフィルタリングとは、通信の可否をWebサイト・ページ単位で設定できる機能です。
・プロキシサーバで利用者認証を行い、攻撃サーバとの通信路の確立を困難にする。
・プロキシサーバでの利用者認証時に、②PCの利用者が入力した認証情報がマルウェアによって悪用されるのを防ぐための設定を、Webブラウザに行う。
②の設定内容
・オートコンプリート機能を無効にする。
→オートコンプリート機能とは、Webブラウザでの文字入力補助機能の一つで、過去の操作によるIDやパスワードとなる文字をブラウザに保存するものです。マルウェアに感染した場合にはそれらの情報が悪用される可能性があるため、プロキシサーバでの利用者認証を行う場合には、オートコンプリート機能を無効にする必要があります。
〔ログ検査の実施〕
S君は、ログ検査について検討し、次の対策と運用を行うことにした。
プロキシサーバは、社内LANのPCとサーバが社外のWebサーバとの間で通信した内容をログに記録している。業務サーバ、ファイルサーバ、FWなどの機器も、ログインや操作履歴をログに記録しているので、プロキシサーバ だけでなく他の機器のログも併せて検査する。③ログ検査では、複数の機器のログに記録された事象の関連性も含めて調査することから、DMZにNTP(Network Time Protocol)サーバを新規に導入し、ログ検査を行う機器でNTPクライアントを稼働させる。導入するNTPサーバは、外部の信用できるサーバから時刻を取得する。NTPサーバの導入に伴って、表1に示すパケットフィルタリングルールをFWに追加する。
③について、NTPを稼働させなかったときに発生するおそれがある問題
・各機器のログに記録された事象の時系列の把握が困難になる。
→ログの日時は各機器の内部時計の時刻が使用されますが、これらが同期されていない状態ではズレが発生する可能性があります。複数の機器のログを併せて検査する際に、ログの日時にズレがあると、時系列の把握が困難になります。
d:DMZ
NTPサーバはDMZに新規に導入されるため、社内LANのサーバとDMZのNTPサーバでNTPの通信が発生します。また、「導入するNTPサーバは、外部の信用できるサーバから時刻を取得する」とあり、外部(=インターネット)とのNTPの通信が発生します。
項番2から見ていくと、社内LANのサーバとNTPで通信するのは、DMZのNTPサーバであることが分かります。
e:インターネット
同じく、項番1を見ると、DMZのNTPサーバとNTPで通信するのは、インターネットのNTPサーバです。
ログ検査では、次の2点を重点的に行う。
・プロキシサーバ での利用者認証の試行が、短時間に大量に繰り返されていないかどうかを調べる。この検査によって、マルウェアによるサーバへの(f:総当たり)攻撃が行われた可能性があることを発見できる。
f:総当たり
総当たり攻撃(別名:ブルートフォースアタック)とは、特定の文字数及び文字種で可能性のあるすべてのパターンを試す攻撃のことです。
ここでは、短時間に大量に繰り返すログがあった場合、通常の利用者による操作ではなく、マルウェアによる総当たり攻撃であることを示しています。
・セキュリティベンダやセキュリティ研究調査機関が公開した、バックドア通信の特徴に関する情報を基に、プロキシサーバのログに記録された通信内容を調べる。この検査によって、バックドア通信の痕跡を発見できることが多い。
〔インシデントへの対応体制の構築〕
S君は、④インシデントによる情報セキュリティ被害の発生、拡大及び再発を最小化するために社内に構築すべき対応体制についてまとめた。
④の対応体制
・インシデント発見者がインシデントの内容を報告する窓口の設置(正解)
・原因究明から問題解決までを社外に頼らず独自に行う体制の構築(不正解)
→インシデントの内容によっては、社外の専門家に依頼するなどの体制が必要です。
・社員向けの情報セキュリティ教育及び啓発活動を行う体制の構築(正解)
・情報セキュリティ被害発生後の事後対応に特化した体制の構築(不正解)
→事後対応に特化するのではなく、予防対応も必要です。
・発生したインシデントの情報を社内外に漏らさない管理体制の構築(不正解)
以上の検討を基に、S君は、マルウェア体制の改善案をまとめてM課長に報告した。改善案は承認され、実施に移すことになった。
【出典:応用情報技術者試験 平成29年度春期午後問1(一部、加工あり)】