ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2 No.4
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2(一部、加工あり)】
【仮想PCのマルウェア感染時の対応】
仮想PCに感染したマルウェアは、別の仮想PCに感染拡大を試みる場合がある。仮想PCでは物理的にLANケーブルを抜くことができないので、従来の対処方法は利用できない。そこで、Uさんが考えた対策案は、次のとおりである。
- ある仮想PCで、ウィルス対策ソフトがマルウェアの感染を検知したときは、情報セキュリティ管理者がその仮想PCを隔離すべきか否かを判断する。隔離するときは、VDIのコンソールを使って、その仮想PCを(ア:仮想SW)から切り離す。
- 標的型攻撃対策装置が、ある仮想PCの通信からC&CサーバのIPアドレスを特定したときは、本社のUTMにフィルタリングを設定する。被害の拡大を防ぐために、他の仮想PCも含めてC&Cサーバと通信を行うことを防ぐ必要があるので、”送信元=(イ:任意)、宛先=(ウ:C&Cサーバ)、ポート番号=任意、動作=拒否”のフィルタリングルールを設定し、インターネット方向の通信を遮断する。
その後、VDIの導入に関するUさんの報告書は企画会議で承認され、導入の準備を開始した。
ア:仮想SW
仮想PCを隔離するとはどういうことか、図2で確認してみます。
VDI内で、仮想PCは上位の仮想SWに論理的に接続されていて、そこからVDIサーバの物理NIC、L2SW経由で外部と通信していることが分かります。
したがって、VDIのコンソールを使い、仮想PCを仮想SWから切り離す設定を行うことで、仮想PCを隔離することができます。
イ:任意、ウ:C&Cサーバ
C&Cサーバと通信する挙動が見られたということは、仮想PCがマルウェアに感染しているということです。
本文中に「仮想PCに感染したマルウェアは、別の仮想PCに感染拡大を試みる場合がある」とあるようにマルウェアは感染拡大を試みますが、それは仮想PCに限らず、組織全体に感染拡大する可能性があると考えられます。
したがって、UTMにおいて、全ての装置(送信元:任意)からC&Cサーバへの通信を遮断する必要があります。