ランサムウェア、User-Agentヘッダフィールド【情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2 設問1】

情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2 設問1

【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2(一部、加工あり)】

問2 工場のセキュリティに関する次の記述を読んで、設問1〜7に答えよ。
 A社は、車両や産業用機械で利用される金属部品の製造会社であり、本社オフィスに加えて3か所の工場(以下、本社オフィス及び各工場をそれぞれ事業所という)をもつ。本社オフィスには、営業部、財務部、総務部、システム部などの部門が配置されている。各工場はそれぞれが独立した部門である。A社は、各事業所内及び事業所間を結ぶ基幹ネットワーク(以下、A-NETという)を整備している。A-NETはシステム部が管理し、社内の機器の多くが接続されている。
 A社は、全社共通のセキュリティ規程を定めており、各部門はこれに従って機器を管理しなければならない。A-NETの概要を図1に、A社のセキュリティ規程を図2に示す。


 先日、同業のB社でセキュリティ事故が発生し、生産設備が数日停止した旨の記事が業界紙に掲載された。これまでのところ、A社では、同様の被害が生じた事故は起きていないが、以前から、セキュリティ面を深く考慮せずに拡張してきたA-NET及び部門NETについて抜本的な改善の必要性があるとの指摘が、システム管理を担う現場の技術者から出ている。

【ランサムウェア感染】
 ある日、α工場において、設計部のSさんが利用する標準PC(以下、PC-Sという)の動作が極端に遅くなり、かつ、一部のファイルが開けなくなる事象が発生した。Sさんから連絡を受けたシステム部は、α工場において部門機器や業務用ソフトを管理するD主任と共同で、調査及び対処を行った。その内容を図3に示す。


 図3中の6について、感染拡大の試行の痕跡が見つかったのは、いずれも生産設備を制御するための専用PC(以下、FA端末という)だった。FA端末は、α工場が管理する部門機器としてA-NETへの接続が許可されていた。FA端末には、パッチの適用やマルウェア対策ソフトの導入などの、セキュリティを維持するための措置が施されていなかった。D主任によると、FA端末は標準PCではないので、セキュリティ規程で定められた標準PCに対する措置は適用対象外と理解しているとのことであった。また、FA端末は、汎用PCを用いたPCであるが、FA端末及び生産設備の製造ベンダY社の指定する方法で利用しなければならない。Y社の許可を得ずにパッチを適用したり、他社のソフトウェアをFA端末にインストールしたりした場合は、FA端末及び関係する生産設備の動作が保証されなくなるとのことであった。

【見直し実施の方針】
 今回のランサムウェア感染では、生産設備の停止などの重大な事態に陥ることはなかった。しかし、A社の経営陣は、実害があったこと、生産設備に影響する可能性があったこと、及びB社でセキュリティ事故があったことを踏まえ、工場のセキュリティについて抜本的な見直しを行う方針を決定した。
 経営陣は、システム部のM部長をこの抜本的な見直しのプロジェクト(以下、プロジェクトWという)の責任者に任命した。プロジェクトWは、サイバー攻撃などによる生産設備の停止を防ぐことを目的とし、必要な施策を検討して実施する。例えば、A-NETで障害が発生しても生産設備の稼働を維持できるようにする。

①について、ログに記録されたUser-Agentヘッダフィールドの値からはマルウェアによる通信であると判定するのが難しいケースがある。それはどのようなケースか。50字以内で述べよ。:User-Agentヘッダフィールドの値がA社で利用しているWebブラウザを示す値であるケース

 User-Agentヘッダフィールドとは、HTTPでのクライアントからのリクエスト時に、Webブラウザのソフトウェア名称やバージョンを記載することができるフィールドのことです。
 例えば、「Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.97 Safari/537.36」といった内容になっています。
 Webブラウザは自身の名称やバージョンを含む固有のUser-Agentを持ちますが、この値はクライアント側で任意に設定できるようになっています。
 ①記述の「curl/7.64.0」とは、UNIX系のcurl(cilent for URL)コマンドのことで、URLを指定してファイルをやり取りできるものです。
 「PC-Sが、サイトUに、User-Agentヘッダフィールドの値が”curl/7.64.0”のHTTPリクエストを繰り返し送信している」とのことから、マルウェアにより、User-Agentヘッダフィールドの値を”curl/7.64.0”に指定していることが分かります。
 したがって、User-Agentヘッダフィールドの値が、A社で利用しているWebブラウザを示す値である場合には、マルウェアによる通信であると判定するのが難しくなります。

a:パッチ

 「CAD-Vの脆弱性情報及びその対策である(a)はCAD-Vの開発元によって公開されていたが、α工場はそれらの情報を得ていなかった」という文面から、パッチであると判断できます。

b:初期化

 ランサムウェアに感染したPC-Sの対処として最初に実施することですが、その後の対処で「PC-Sに、業務用ソフトをインストールする」「PC-S上に必要なファイルは、バックアップから復元する」という流れであることから、最初に初期化を行うことが分かります。

c:サイトU

 ファイルTは、図3中の5項(1)に「サイトUにアクセスし、ランサムウェアが動作した機器の環境や暗号化の状況についての情報を登録する」とあることから、FWによって社内からサイトUへのアクセスを遮断する必要があります。