インシデントのタイムライン作成【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 No.4】

情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 設問4

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問2(一部、加工あり)】

【インシデントQのタイムラインと措置】
 G部長は、調査結果の確認及び対応措置の検討についてF氏の支援を受けるようCさんに指示した。F氏の支援を受けてCさんが作成したインシデントQのタイムラインを表2に示す。


 また、F氏による追加調査の結果、社内の文書Zが、9月22日までの間に、攻撃者によって社外に送信されていたことが確認された。文書Zは、それまでに漏えいしたものとは別の新製品βの設計書である。
 Cさんは、F氏の支援を受け、インシデントの封じ込め、根絶及び復旧のための措置を検討した。マルウェアLとマルウェアKについては、Y社から、これらを検知するためのマルウェア定義ファイルの提供を受け、全てのサーバ及びPCに適用することにした。Cさんは、そのほか必要と思われる措置をまとめて、G部長に提案した。G部長は、Cさんの提案を承認し、承認された措置が実施された。

ア:9/4 14:31

 タイムラインNo.1の事象「Dさんは、PC-AのWebブラウザで社外のサイトにアクセスし、ファイルWを格納したZIP形式のファイルをダウンロード」についてです。
 この事象は、図7(調査結果)のDさんへのヒアリング情報にある「Dさんは、9月4日午後にPC-AのWebブラウザを用いてインターネットで挨拶文例を検索し、見つけたZIP形式のファイル”samplebun.zip”をダウンロードした。Dさんは、このファイルを展開した上で、中にあったファイルWをダブルクリックし参考にした。」に該当します。
 そして、図6(プロキシサーバのログ)から該当する部分を探すと、4行目の以下のログが該当します。
 「4: [04/Sep/2018 14:31:15 +9000]”Get http://yyyy/dl/samplebun.zip HTTP/1.1″ 200 89331 “http://zzzz/2018/ne/bunrei.html” “▲▲”」

m:マルウェアL、n:サイトM

 まず、タイムラインNo.2の事象「ファイルWを取り出した上で、これをダブルクリックし、(m)を実行」について確認します。
 ファイルWについては、表1(ファイルについての情報)に「ダウンローダの機能をもつマルウェアLである。サイトMからプログラムをダウンロードし、実行する。また、これらの処理と並行して文書作成ソフトを起動し、特定の文書を表示する。」とあります。
したがって、タイムラインNo.3の事象「マルウェアLは、サイトMにアクセスし、”new3.exe”をダウンロード」となります。

o:マルウェアK

 タイムラインNo.4の事象「マルウェアLは(o)を実行」についてです。
 No.3でダウンロードした”new3.exe”について、表1(ファイルについての情報)に「遠隔操作の機能をもつマルウェアKである。実行されると、IPnのサイトにアクセスして、そのレスポンスに従って動作する。また、指定されたファイルを、HTTPのPOSTメソッドを用いてIPnのサイトに送信する機能をもつ。」とあります。

イ:9/4 14:37、p:遠隔操作

 タイムラインNo.5の事象「マルウェアKは、IPnのサイトとの頻繁な通信を開始 攻撃者による(p)が始まったと推測」についてです。
 図6(プロキシサーバのログ)からIPnとの通信が最初に登場するのは、8行目の以下のログです。
 「8: [04/Sep/2018 14:37:06 +9000]”Get http://IPn/news.php HTTP/1.1″ 200 5429 “-” “▽▽”」
 また、この通信以降、マルウェアKにより、攻撃者による遠隔操作が始まったと推測できます。

ウ:9/5 10:41

 タイムラインNo.6の事象「攻撃者はPC-Bへのログインの試行を開始」の時刻「9/5 10:35」は、表9(Lastbコマンドの実行結果(ログイン失敗))の内容と一致します。
 そして、タイムラインNo.7の事象「攻撃者はPC-Bへのログインに初成功」の時刻を表8(Lastコマンドの実行結果(ログイン履歴))で確認すると、「9/5 10:41」となります。

q:ファイルA、r:PC-B

 タイムラインNo.8の事象「(〜9/7 4:15)攻撃者は、漏えいが疑われるファイルのコピーと(q)を、(r)のローカルディスクに作成」についてです。
 この事象は、図7(調査結果)のPC-Bについてにある以下が該当します。

  • PC-Bのディレクトリ”/tmp/20xx/”に次のファイルが置かれていた。
    • 新製品αの設計資料
    • 文書Yを含む新製品αの操作説明書の草稿
    • そのほかのファイル
    • 上記のファイルを格納したアーカイブファイル(以下、ファイルAという)

ファイルAの所有者はDさんであり、作成日時は9月7日4時15分であった。

s:PC-A

 タイムラインNo.9の事象「(9/8 3:35)攻撃者は、ファイルAと同じ内容のファイルを(s)のローカルディスクに作成」についてです。
 関連する内容が問題文に「PC-Aにおいて、9月8日3時35分に、ファイル名は異なっていたものの、ファイルAと同じ内容のファイルが作成されていたことが分かった」とあります。
 そして、タイムラインNo.10の事象「No.9で作成されたファイルがIPnのサイトに送信された可能性」に続きます。