情報処理安全確保支援士試験 午後問題から学ぶ【インシデント発生時の初動調査】

情報処理安全確保支援士試験の午後問題には、情報セキュリティに関する最新の動向を反映した題材が採用されています。

キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、情報処理安全確保支援士試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習していきましょう。

今回は、「無線LANを侵入経路としたマルウェアへの感染」を題材にした「インシデント発生時の初動調査」を解説していきます。

「インシデント発生時の初動調査」とは

インシデントは様々な種類があり、対象となるネットワーク構成も異なるため、インシデント発生時の初動調査もその状況により変わってきます。

問題文にはその状況における最も相応しいと思われる行動が記載されていますので、模擬訓練として経験値を高めるつもりで取り組むといいと思います。

例えば、マルウェア感染のインシデントについては、マルウェアは発見されないように自らの動作や存在の痕跡を消去することが多くなります。

消去されたファイルも、セキュリティインシデントにおいて、大きな手掛かりとなります。

具体的な証拠保全の方法として、本問題のように、マルウェア感染したPCのHDDは、ファイル単位ではなくセクタ単位で全セクタを対象にコピーするということをスキルとして持っておくこと。

こういったスキルを積み重ねて、発生するインシデントに柔軟に対応することが可能となります。

平成31年度春期情報処理安全確保支援士試験での「インシデント発生時の初動調査」

「無線LANを侵入経路としたマルウェアへの感染」を題材に、マルウェアの調査と対策について出題されました。

それでは「インシデント発生時の初動調査」の問題となった部分を見ていきましょう。

f:id:aolaniengineer:20200101053949p:plain

 N社では、全従業員に一つずつ利用者IDが割り当てられ、その利用者IDとパスワードが認証サーバに登録される。タブレットPC、問合せ用PC及びD-PC(以下この三つを併せて、社内PCという)へのログイン時並びに内部メールサーバ及びファイルサーバへのアクセス時には、認証サーバを使用して認証が実施される。イントラポータルサーバは、認証サーバと連携して、ベーシック認証を使用している。

 総務部では、無線LAN接続型のタブレットPCを導入している。無線LANの暗号化では、WPA2を使用している。W-APでは、不正な端末の接続を防ぐための対策として、次の機能を使用している。

・登録済みMACアドレスをもつ端末だけを接続可能とする接続制御

・総務部に所属する従業員の利用者IDだけに接続を許可するIEEE802.1X認証

IEEE802.1X認証では、認証サーバと連携して、利用者IDとパスワードを使用している(EAP-PEAP)

 プロキシサーバでは、各機器からの全てのアクセスについて、アクセスログを取得している。

 N社では、クラウドサービスを利用して、会社情報や製品情報を公開するWebサイトを運用している。Webサイトには、訪問者からの問合せを受け付けるためのフォームが用意されており、訪問者が問合せ内容を入力すると、その内容が電子メール(以下、メールという)でN社の特定のメールアドレス宛てに送信される。フォームにはファイルを添付する機能はないので、問合せメールにファイルが添付されることはない。万一、このフォーム以外から、この特定のメールアドレス宛てにメールが届いた場合は、そのメールは破棄される。問合せ用PCは、問合せメールを受信するための専用のD-PCで、他の用途には使用していない。また、問合せメールを他の社内PCで受信することはない。問合せ用PCから回答メールを返信する場合、回答メールの送信元メールアドレスには送信専用のメールアドレスを使用している。

 FW1のルールを表1に、FW2のルールを表2に示す。

f:id:aolaniengineer:20200101085657p:plain

f:id:aolaniengineer:20200101085726p:plain

 FW1とFW2は、ステートフルパケットインスペクション型である。FW1には、ペイロードの内容に基づきアプリケーション層での通信の挙動を分析し、マルウェアの動作に伴う不正な通信を検出して遮断できる機能(以下、L7FW機能という)がある。

[インシデント発生]

 4月12日13:00頃、セキュリティ情報共有団体から、”あるC&C(Command and Control)サーバを調査していたところ、そのサーバに対するN社からの通信記録を発見した”との連絡が届き、その通信に関して、表3の情報が提供された。

f:id:aolaniengineer:20200101090439p:plain

 情報提供を受けて、N社のCSIRTメンバが招集された。N社のCSIRTのリーダであるR課長は、メンバのP君に対して、情報処理安全確保支援士(登録セキスペ)であるW主任の支援を受けながら、直ちに状況を確認するように指示した。P君は、表3の情報の真偽を確かめるために、まず(a)のログを確認してN社から当該通信が発信されていたとの確証を得た後、通信を開始した端末を特定するために(b)のログを確認した。その結果、問合せ用PCからC&Cサーバに向けてHTTPSと思われるセッションが確立していたことが確認できた。

[問合せ用PCの調査]

 状況の報告を受けたR課長は、問合せ用PCの調査を指示した。P君は、決められたインシデント対応手順に従い、まず問合せ用PCのHDDのコピー(以下、複製HDDという)を作成した。コピーは①ファイル単位ではなくセクタ単位で全セクタを対象とした。原本であるHDDはそのまま保全した。次に、予備のD-PCを新たな問合せ用PCとして設定して、問合せメールへの回答業務を継続できるようにした。

[感染経路の調査]

 P君が、複製HDDの中に残っていた直近6ヶ月分の問合せメールについて調査したところ、本文にURLが記載されたメールが幾つかあった。その全てのURLのサイトを調査したが、どのサイトも改ざんの報告はなく、閲覧したとしてもマルウェアに感染するおそれがないサイトだった。

 問合せメールによるマルウェア感染がC&Cサーバとの通信の原因である可能性は低いと考えたP君は、調査方針をW主任に相談し、複製HDD内のログ及び関連機器内のログを調査することにした。その結果、図2の調査結果が得られた。

f:id:aolaniengineer:20200102044454p:plain

 この調査結果から、P君は、攻撃者がBさんの利用者IDとパスワードを入手し、それらを利用して無線LAN経由で問合せ用PCに不正にログオンしたと判断した。

 そこで、W主任は、不正なPCをW-APに接続させないための対策として、IEEE802.1X認証の方式をEAP-TLSに変更する案を提案した。

 また、複製HDDの分析を続けたところ、マルウェアを思われるファイルが残っており、実行されていた痕跡があった。

設問1 本文中の(a)、(b)に入れる最も適切な機器名を、図1の中から選び答えよ。

正解 a:FW1 b:プロキシサーバ

設問2 本文中の下線①について、P君がこのようにコピーしたのは、何をどのような手段で調査することを想定したからか。調査する内容を20字以内で、調査の手段を25字以内で具体的に述べよ。

正解 

 内容:削除されたファイルの内容

 手段:空きセクタの情報からファイルを復元する。

【出典:情報処理安全確保支援士試験 平成31年度春期午後2問1(一部、省略部分あり)】

設問1

社内からインターネットへの通信を確認するには、ファイアウォールやプロキシサーバなどのログから確認すると思いますが、問題文ではどのように行動しているでしょうか。

まずは表3(提供された情報)を確認します。

送信元IPアドレスは注記にあるようにプロキシサーバです。そこからC&Cサーバにポート番号:443(HTTPS)でアクセスされています。

この情報からプロキシサーバとC&Cサーバがあるインターネットへの通信に関して問題文を見ていくと以下のことが分かります。

  • 図1から、N社からインターネットにはFW1、FW2を経由する。
  • 本文に「プロキシサーバでは、各機器からの全てのアクセスについて、アクセスログを取得している。」の説明
  • 表1から、FW1では送信元がプロキシサーバ、宛先がインターネット、サービスがHTTP、HTTPS、FTPの通信が許可され、ログ取得される。
  • 表2から、FW2では送信元が内部IP、宛先がプロキシサーバ、サービスが代替HTTPの通信が許可され、ログ取得される。
  • 本文に「FW1とFW2は、ステートフルパケットインスペクション型である」の説明

これらの情報から考えると、(a)については、N社から当該情報が発信されていたことを確認するには、インターネットの接続点であるFW1のログを確認することだと分かります。

(b)については、通信を開始した端末を特定するには、プロキシサーバ向けの通信としてFW1やFW2のログを確認する方法も考えられますが、プロキシサーバ自身のログを確認するのが一番効率的かと思われます。

設問2

HDDのセクタというのは、円盤状の記録媒体における最小の記録単位のことです。

HDD上のファイルは、画面操作でファイルを削除したりするだけでは完全に消去されません。目次に相当するインデックスが削除されるだけです。

HDDのコピーにおいては、ファイル単位で実施する場合は最新のファイルのみが対象であり、古いバージョンや削除されたファイルはコピーされません。

一方、セクタ単位で実施する場合は更新前の古いバージョンのファイルや、削除されたファイルなどHDDに残っている全データが対象となります。

マルウェアは感染した痕跡を消すために、感染した自分自身のファイルや関連したファイルを削除することがあります。

セクタ単位でコピーすることでこれらのファイルを復元させ、マルウェア感染の調査に役立つ情報を得ることができます。