情報処理安全確保支援士試験 令和3年度 春期 午後1 問3
【出典:情報処理安全確保支援士試験 令和3年度 春期 午後1 問3(一部、加工あり)】
[WoLを悪用するマルウェアの脅威]
WoLについて調べていたD君は、図5に示すマルウェアRの記事を見付けた。
D君は、昼間はPCが不審な振る舞いをすれば発見し対処できる可能性があるが、夜間は多くの従業員が不在となり発見することは難しいと考えた。そこで、マルウェアRに限らない、WoLを悪用するマルウェアへの対策について、C主任に相談した。
C主任は、PCが夜間に不審な振る舞いをしたときに、当該PCをネットワークから隔離するという対策(以下、対策3という)を助言した。D君は、④対策3をG社で導入済のシステムを用いて実現する方法を立案した。対策3は対策1及び対策2と併せて承認された。各対策は運用を開始し、マルウェア対策が強化された。
下線③について、(2)の活動に必要な情報及び(4)の活動に必要な情報を、それぞれ10字以内で答えよ。:(2)IPアドレス、(4)MACアドレス
「感染するとすぐに、③自身が動作するPCのARPテーブルから下記(2)及び(4)の活動に必要な情報を読み取って保持しておく。」
ARPテーブルには、IPアドレスとMACアドレスが記録されていて、マルウェアRの活動によって必要な情報を考えます。
(2)の活動は、「夜間に、ARPテーブル中のPC全てにpingコマンドを送信し、PCが起動しているかどうかを確認する」です。
pingコマンドでは、対象PCのIPアドレスを指定し、その応答有無によって稼働状態を確認するものです。
したがって、必要な情報としては「IPアドレス」となります。
(4)の活動は、「起動していないPCを発見したら、WoLを使ってそれらのPCを起動し、感染拡大を試みる。」です。
WoLは前の設問のとおり、対象PCのMACアドレスを16回繰り返したデータを含む起動パケットを送信するものでした。
したがって、必要な情報としては「MACアドレス」となります。
下線④の方法を、55字以内で具体的に述べよ。:エージェントによって、夜間にarpコマンドの実行を検知したら、当該PCをネットワークから隔離する。
「そこで、マルウェアRに限らない、WoLを悪用するマルウェアへの対策について、C主任に相談した。C主任は、PCが夜間に不審な振る舞いをしたときに、当該PCをネットワークから隔離するという対策3を助言した。D君は、④対策3をG社で導入済のシステムを用いて実現する方法を立案した。」
PCが夜間に不審な振る舞いをしたことを、システムを用いてどのように検知して対策するかを考えます。
使えそうなシステムを探すのに、問題文の前半にある図1(G社のシステム構成(概要))、表1(G社の機器及びソフトウェアの概要(抜粋))を改めて確認していきます。
すると、全てのPCにはエージェントが導入されていることから、エージェントの機能で対策ができそうな感じがします。
エージェントには、「PC上で起動する全てのプロセスを監視する。指定した時間帯に指定したコマンドが実行された場合、EDR管理サーバとの間の通信を除き、当該PCの全ての通信を遮断する機能をもつ。」という機能があり、これでマルウェアの検知と対策が取れそうです。
マルウェアRは、ARP、pingコマンド、WoLを使っていて、夜間にこれらのプロセスが実行されることは不審な振る舞いであると考えられます。
したがって、エージェントによって夜間にARP、ping、WoLのプロセスを検知したら、通信を遮断するようにする対策をとればよさそうです。
解答例では「夜間にarpコマンドを検知したら」とありますが、マルウェアに感染したら昼間の間にarpコマンドにより必要な情報を記憶しておき夜間にping、WoLを起動させることもできるため、ping、WoLのプロセスを検知する方がいいのではと思います。