情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 設問4
【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問2(一部、加工あり)】
【インシデントQのタイムラインと措置】
G部長は、調査結果の確認及び対応措置の検討についてF氏の支援を受けるようCさんに指示した。F氏の支援を受けてCさんが作成したインシデントQのタイムラインを表2に示す。
また、F氏による追加調査の結果、社内の文書Zが、9月22日までの間に、攻撃者によって社外に送信されていたことが確認された。文書Zは、それまでに漏えいしたものとは別の新製品βの設計書である。
Cさんは、F氏の支援を受け、インシデントの封じ込め、根絶及び復旧のための措置を検討した。マルウェアLとマルウェアKについては、Y社から、これらを検知するためのマルウェア定義ファイルの提供を受け、全てのサーバ及びPCに適用することにした。Cさんは、そのほか必要と思われる措置をまとめて、G部長に提案した。G部長は、Cさんの提案を承認し、承認された措置が実施された。
ア:9/4 14:31
タイムラインNo.1の事象「Dさんは、PC-AのWebブラウザで社外のサイトにアクセスし、ファイルWを格納したZIP形式のファイルをダウンロード」についてです。
この事象は、図7(調査結果)のDさんへのヒアリング情報にある「Dさんは、9月4日午後にPC-AのWebブラウザを用いてインターネットで挨拶文例を検索し、見つけたZIP形式のファイル”samplebun.zip”をダウンロードした。Dさんは、このファイルを展開した上で、中にあったファイルWをダブルクリックし参考にした。」に該当します。
そして、図6(プロキシサーバのログ)から該当する部分を探すと、4行目の以下のログが該当します。
「4: [04/Sep/2018 14:31:15 +9000]”Get http://yyyy/dl/samplebun.zip HTTP/1.1″ 200 89331 “http://zzzz/2018/ne/bunrei.html” “▲▲”」
m:マルウェアL、n:サイトM
まず、タイムラインNo.2の事象「ファイルWを取り出した上で、これをダブルクリックし、(m)を実行」について確認します。
ファイルWについては、表1(ファイルについての情報)に「ダウンローダの機能をもつマルウェアLである。サイトMからプログラムをダウンロードし、実行する。また、これらの処理と並行して文書作成ソフトを起動し、特定の文書を表示する。」とあります。
したがって、タイムラインNo.3の事象「マルウェアLは、サイトMにアクセスし、”new3.exe”をダウンロード」となります。
o:マルウェアK
タイムラインNo.4の事象「マルウェアLは(o)を実行」についてです。
No.3でダウンロードした”new3.exe”について、表1(ファイルについての情報)に「遠隔操作の機能をもつマルウェアKである。実行されると、IPnのサイトにアクセスして、そのレスポンスに従って動作する。また、指定されたファイルを、HTTPのPOSTメソッドを用いてIPnのサイトに送信する機能をもつ。」とあります。
イ:9/4 14:37、p:遠隔操作
タイムラインNo.5の事象「マルウェアKは、IPnのサイトとの頻繁な通信を開始 攻撃者による(p)が始まったと推測」についてです。
図6(プロキシサーバのログ)からIPnとの通信が最初に登場するのは、8行目の以下のログです。
「8: [04/Sep/2018 14:37:06 +9000]”Get http://IPn/news.php HTTP/1.1″ 200 5429 “-” “▽▽”」
また、この通信以降、マルウェアKにより、攻撃者による遠隔操作が始まったと推測できます。
ウ:9/5 10:41
タイムラインNo.6の事象「攻撃者はPC-Bへのログインの試行を開始」の時刻「9/5 10:35」は、表9(Lastbコマンドの実行結果(ログイン失敗))の内容と一致します。
そして、タイムラインNo.7の事象「攻撃者はPC-Bへのログインに初成功」の時刻を表8(Lastコマンドの実行結果(ログイン履歴))で確認すると、「9/5 10:41」となります。
q:ファイルA、r:PC-B
タイムラインNo.8の事象「(〜9/7 4:15)攻撃者は、漏えいが疑われるファイルのコピーと(q)を、(r)のローカルディスクに作成」についてです。
この事象は、図7(調査結果)のPC-Bについてにある以下が該当します。
- PC-Bのディレクトリ”/tmp/20xx/”に次のファイルが置かれていた。
- 新製品αの設計資料
- 文書Yを含む新製品αの操作説明書の草稿
- そのほかのファイル
- 上記のファイルを格納したアーカイブファイル(以下、ファイルAという)
ファイルAの所有者はDさんであり、作成日時は9月7日4時15分であった。
s:PC-A
タイムラインNo.9の事象「(9/8 3:35)攻撃者は、ファイルAと同じ内容のファイルを(s)のローカルディスクに作成」についてです。
関連する内容が問題文に「PC-Aにおいて、9月8日3時35分に、ファイル名は異なっていたものの、ファイルAと同じ内容のファイルが作成されていたことが分かった」とあります。
そして、タイムラインNo.10の事象「No.9で作成されたファイルがIPnのサイトに送信された可能性」に続きます。