【ネットワークスペシャリスト試験 令和元年度 秋期 午後2 問2 No.5】

ネットワークスペシャリスト試験 令和元年度 秋期 午後2 問2

【出典:ネットワークスペシャリスト試験 令和元年度 秋期 午後2 問2(一部、加工あり)】

[マルウェアの内部LANへの侵入時の対策]
 次に、2人は、マルウェアの内部LANへの侵入時の対策について検討した。
 ネットワークのセキュリティ対策を行なっても、ソーシャルエンジニアリングなどによってW社内の情報が漏えいすると、内部LANのNPCは、マルウェアに侵入されるおそれがある。NPCに侵入したマルウェアは、攻撃者が管理・運営するC&C(Command & Control)サーバとの間の通信路を設定した後、C&Cサーバ経由で攻撃者から伝達された命令を実行して、自身の拡散やC&Cサーバへの秘密情報の送信などを行うことがある。このとき、C&CサーバのIPアドレスが特定できれば、FPサーバでC&Cサーバとの通信は遮断できる。しかし、Fast Fluxと呼ばれる手法を用いて、IPアドレスの特定を困難にすることによって、C&Cサーバなどを隠蔽する事例が報告されている。
 Fast Fluxは、特定のドメインに対するDNSレコードを短時間に変化させることによって、サーバの追跡を困難にさせる手法である。Fast Flux手法が用いられたときのマルウェアによるC&Cサーバとの通信例を、図4に示す。

 攻撃者は、example.comドメインを取得してコンテンツサーバ(ns.example.com)を設置する。図4中のns.example.comには、fast-fluxのFQDNに対するAレコードとして大量のボットのIPアドレス、及びDNSラウンドロビンが設定される。
 図4には、W社の内部LANのNPCに侵入したマルウェアが、fast-flux.example.comにアクセスした後、ボットに備わる機能を利用して、C&Cサーバとの間で行われる通信を示している。⑧図4中のexample.comドメインのコンテンツサーバの設定の場合、マルウェアが、一定間隔でfast-flux.example.comへアクセスを行えば、毎回、異なるIPアドレスで、ボットを経由してC&Cサーバと通信することになる。
 このような方法を用いることによって、C&CサーバのIPアドレスを隠蔽できる。しかし、マルウェアが同一のFQDNのホストにアクセスすることになるので、fast-flux.example.comへのアクセスによってC&Cサーバとの通信が行われることが判明すれば、FPサーバのURLフィルタリングでC&Cサーバとの通信は遮断できる。攻撃者は、これを避けるためにDomain Fluxと呼ばれる手法を用いることがある。
 Domain Fluxは、ドメインワイルドカードを用いて、あらゆるホスト名に対して、同一のIPアドレスを応答する手法である。Fast FluxとDomain Fluxを組み合わせることによって、C&CサーバのFQDNとIPアドレスの両方を隠蔽できる。図4に示した構成のFast FluxとDomain Fluxを組み合わせたときの、ns.example.comに設定されるゾーンレコードの例を図5に示す。

 このような攻撃が行われた場合を想定し、2人は、現行のFPサーバをHTTPS通信の復号機能をもつ機種に交換し、プロキシ認証を併せて行うことにした。交換するFPサーバでのプロキシ認証のセキュリティを高めるために、社内のNPCのWebブラウザで、オートコンプリート機能を無効にし、ID、パスワードのキャッシュを残さないようにすることにした。また、内部LANに侵入したマルウェアの活動を早期に検知するために、⑨FPサーバとFWのログを定期的に検査することにした

 以上の検討を基に、N主任とJさんは、(1)IPSの導入、(2)外部DNSサーバの構成変更と新機種の導入、(3)FPサーバの交換、(4)NPCの設定変更、及び(5)ログの定期的な検査から成る5項目の実施案をまとめ、M課長に提出した。
 2人がまとめた実施案は、経営会議で承認され、実施に移されることになった。

図4中で、fast-flux.example.comの名前解決要求と応答の通信をa〜nの名から全て選び、通信が行われる順番に並べよ。:e、g、h、f

 問題文の前半に、「内部LANの各部署のNPCから、インターネット上のWebサイトへのアクセス(省略)は、FPサーバ経由で行う」とあるように、インターネット上のドメインに対する名前解決はFPサーバで行うことが分かります。
 FPサーバはフルリゾルバサーバであるDNSサーバ2に対して名前解決要求を送信します。
 そして、DNSサーバ2はexample.comドメインコンテンツサーバに名前解決要求を送信し、要求と逆の順番で応答が返ってきます。

下線⑧について、DNSサーバ2がキャッシュしたDNSレコードが消去されるまでの時間(分)を答えよ。:3

 「⑧図4中のexample.comドメインのコンテンツサーバの設定の場合
 問われている「DNSサーバ2がキャッシュしたDNSレコードが消去されるまでの時間」とは、DNSのTTL(Time To Live)として示され、キャッシュされた情報の有効時間を定義するものです。
 図4の「digコマンドでns.example.comに問い合わせたときに応答される情報」を見ると、ANSWER SECTIONには「fast-flux.example.com. 180 IN A IPb1」とあり、180(秒)=3分がTTLになります。
 DNSサーバ2では3分でDNSレコードが消去されるので、「マルウェアが、一定間隔でfast-flux.example.comへアクセスを行えば、毎回、異なるIPアドレスで、ボットを経由してC&Cサーバと通信することになる。」とあるように、3分超の間隔でアクセスするたびにボットIPb1→ボットIPb2のようにボットのIPアドレスが変更されることになります。

図5のようにゾーンレコードが設定された場合、C&Cサーバを効果的に隠蔽するための、マルウェアによるC&Cサーバへのアクセス方法について、25字以内で述べよ。:アクセス先のホスト名をランダムに変更する。

 図5のゾーンレコードを見ると、「* 180 IN A IPb1」「* 180 IN A IPb2」のようにホスト名がワイルドカードになっていて、「*.example.com」の「*」部分が変わっても応答することと、DNSラウンドロビンによって応答するIPアドレスを変化させて応答することが分かります。
 マルウェアによるC&Cサーバへのアクセス方法が問われているので、ホスト名をランダムに変更することを回答すれば良さそうです。

下線⑨について、FPサーバのログに、マルウェアの活動が疑われる異常な通信が記録される場合がある。その通信の内容を、35字以内で述べよ。:FPサーバでの認証エラーが短時間に繰り返されている。

 「また、内部LANに侵入したマルウェアの活動を早期に検知するために、⑨FPサーバとFWのログを定期的に検査することにした
 直前の文で、FPサーバでは新たに「HTTPS通信の復号機能をもつ機種に交換」と「プロキシ認証」を行うとあります。
 HTTPS通信の復号機能では暗号化されたデータ部分を復号化するものですが、このデータ部にアクセスするURLも含まれています。
 Fast FluxやDomain Fluxによる攻撃に対して、FPサーバでのURLフィルタリング機能でC&Cサーバとの通信を遮断するためには、HTTPS通信の復号が必要ということが分かると思います。
 一方、プロキシ認証では、インターネット接続の際にブラウザでID・パスワードを入力することになります。
 マルウェアはID、パスワードを知らないので、任意のID、パスワードで試行することを繰り返すことになります。
 尚、「交換するFPサーバでのプロキシ認証のセキュリティを高めるために、社内のNPCのWebブラウザで、オートコンプリート機能を無効にし、ID、パスワードのキャッシュを残さないようにすることにした。」とあるように、NPCでID、パスワードのキャッシュは残っていないため、マルウェアがこれを利用することはできないことが分かります。
 したがって、問われているFPサーバのログでのマルウェアの活動が疑われる異常な通信は、「短時間に認証エラーが繰り返される通信」と考えることができます。

内部LANのNPCに侵入したマルウェアが、FPサーバを経由せずにC&CサーバのFQDN宛てにアクセスを試みた場合は、マルウェアによるC&Cサーバとの通信は失敗する。通信が失敗する理由を、40字以内で述べよ。:C&CサーバのIPアドレスが取得できないので、宛先が設定できないから。

 NPCのマルウェアが直接C&Cサーバと通信するには、まず、C&CサーバのFQDNの名前解決が必要です。
 この場合、まず内部DNSサーバに名前解決要求を行います。
 内部DNSサーバでは名前解決要求を外部DNSサーバに転送しますが、外部DNSサーバはDNSサーバ1(コンテンツサーバ)とDNSサーバ2(フルリゾルバサーバ)に分離されました。
 この時に、表1(通信を許可するFWのルール)の内部LAN→DMZで、内部DNSサーバから許可されているのはDNSサーバ1宛ての通信のみからであり、変更されている記述はありません。
 このため、内部DNSサーバからDNSサーバ2(フルリゾルバサーバ)宛ての名前解決要求は失敗することになります。
 したがって、マルウェアは、C&CサーバのIPアドレスが取得できず、宛先を設定することができなくなることが分かります。