APT(Advanced Persistent Threat)攻撃【情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2 設問2】
情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2 設問2
【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2(一部、加工あり)】
【プロジェクトWの進め方】
M部長は、まず、α工場の課題を調査して、必要な措置を検討し、ほかの工場は、α工場の結果を基に、進め方を検討することにした。
M部長は、システム部のCさんをプロジェクトWの担当者に指名した。また、情報セキュリティの知見が少ないA社の現状を踏まえ、セキュリティコンサルティングサービスを提供するE社の支援を受けることにした。
次は、Cさんと、E社の情報処理安全確保支援士(登録セキスペ)のF氏との会話である。
Cさん:プロジェクトWでは、ランサムウェアに限らず、例えば、B社で発生したようなセキュリティ事故を確実に防ぎたいと考えています。
F氏:B社のセキュリティ事故は、APT(Advanced Persistent Threat)攻撃を受け、社内のPCが遠隔操作型のマルウェアに感染したことが発端でした。
Cさん:APT攻撃の事例はよく耳にします。具体的には何が起こるのでしょうか。
F氏:APT攻撃の典型的なステップを表1にまとめました。
d:ドキュメント
攻撃者は、ターゲット組織内でメールなどで通常にやり取りさせる情報を使うことで、不審なメールと思わせないような準備をします。
そのために、入手した正規のドキュメントなどを偽装したりすることもあります。
e:バックドア
「長期にわたり侵入を継続できるようにする」とあり、バックドアが該当します。
f:攻撃者の指示
攻撃者のサーバと通信してその後の動作の基になるものは、攻撃者の指示です。
次に挙げる活動は、表1のどのステップに該当するか。
活動1:SNSを調べて、ターゲット組織の従業員の専門性や趣味嗜好の情報を得る。
活動2:ターゲット組織内のファイルサーバにアクセスし、ターゲット組織の秘密情報を盗む。
活動3:マルウェアを組み込んだUSBメモリを、ターゲット組織の建物の入り口付近に置いておく。
活動1:1
ターゲット組織の情報を得る活動ですので、偵察(ステップ1)に該当します。
活動2:7
ターゲット組織の秘密情報を盗む行為ですので、目的の実行(ステップ7)に該当します。
活動3:3
USBメモリをターゲット組織の建物の入り口付近に置くのは、ターゲット組織の従業員がUSBメモリを拾ってPCに接続することを狙った行為ですので、配送(ステップ3)に該当します。