情報処理安全確保支援士試験 令和元年度 秋期 午後1 問3 設問3
【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後1 問3(一部、加工あり)】
【インシデント対応手順の改善】
報告書を読んだE部長は、他社での標的型攻撃への対応事例と比較すると、対応が不十分であると考えた。次は、E部長とGさんの会話である。
E部長:ほかにもマルウェアMに感染したPC又はサーバがある場合を想定する必要があるのではないか。
Gさん:13:27以降、Pサービスから新たな通知は来ていません。感染したのは、L-PCだけと考えてよいのではないでしょうか。
E部長:13:17:15より前の、ログ蓄積サーバ中のFWのログに(e)が含まれているかどうかを確認する必要がある。
Gさん:分かりました。早速確認します。
E部長:ただし、①PC又はサーバの状態によっては、FWのログを使った確認ではマルウェアMに感染していることを検知できないことがあるので、②Rログを使った確認もする必要がある。
Gさん:分かりました。
Gさんは、ログを確認し、感染したPC又はサーバは、ほかに発見されなかったという結果をE部長に報告した。E部長は、マルウェアに感染したPC又はサーバを特定するためのログの調査手順を、インシデント対応手順に追加するようGさんに指示した。これによって、J社ではインシデント対応手順を更に改善することができた。
e:IPアドレスw1.x1.y1.z1との通信履歴
13:17:15とは、表2(Gさんによるインシデント対応の記録(抜粋))の時刻13:27にある「C&Cサーバへの接続日時 20XX年10月8日13:17:15」のことですね。
そして、この内容はあくまでもPサービスがJ社内からC&Cサーバ(w1.x1.y1.z1)への通信を検知したというものです。
もしかしたら、PサービスがC&Cサーバ(w1.x1.y1.z1)を監視対象にする前や、J社がPサービスを利用する前の時期にすでに発生しているかもしれません。
そのため、ログ蓄積サーバ中のFWのログで、C&CサーバのIPアドレス:w1.x1.y1.z1宛ての通信履歴を確認し、遡って確認することが必要です。
①について、検知できないのはPC又はサーバがどういう状態にある場合か。40字以内で述べよ。:感染したが、C&Cサーバと通信する前にネットワークから切り離された状態
マルウェアMに感染するとC&Cサーバと通信する事象が発生することが分かっていますが、どのタイミングでC&Cサーバとの通信を行うかは不明ですよね。
感染しても、C&Cサーバと通信する前に電源停止していたり、ネットワークから切断されていたりする場合も考えられます。
このような場合には、FWのログでの確認でマルウェア感染を検知できないことになります。
②について、マルウェアMに感染しているPC又はサーバをRログを使って検知する方法を、30字以内で具体的に述べよ。:RログをマルウェアMのハッシュ値で検索する。
Rログについて確認しましょう。
表1(J社情報システムの構成要素(抜粋))のRシステムに、「エージェントプログラムは、PC及び業務サーバに導入している。全てのプロセスの生成から終了までの動作、実行したプログラムのハッシュ値並びに通信の宛先のIPアドレス及びポートを、Rログとして取得し、ログ蓄積サーバにsyslogとで送信する。(略)情シ部員は、Rログをマルウェアのハッシュ値で検索することによって、そのマルウェアが実行された痕跡があるかどうか調査することができる。」とあります。
したがって、マルウェアMのハッシュ値でRログを検索すれば、マルウェアMが実行されたかどうかは分かりそうです。
マルウェアMに感染していることと、マルウェアMが実行されたことが必ずしもイコールではないかもしれませんが、前問でのFWのログで検知できない状況より、一歩進んで感染状態を把握することはできそうです。