【情報処理安全確保支援士試験 令和3年度 秋期 午後1 問3 No.1】
情報処理安全確保支援士試験 令和3年度 秋期 午後1 問3
【出典:情報処理安全確保支援士試験 令和3年度 秋期 午後1 問3(一部、加工あり)】
問3 PCのマルウェア対策に関する次の記述を読んで、設問1〜3に答えよ。
Q社は、従業員100名の金属加工会社である。Q社には、総務部、営業部及び技術部がある。
Q社では、全従業員にPCを貸与している。総務部員のPCは総務部LANに、営業部員のPCは営業部LANに、技術部員のPCは技術部LANに接続されている。業務に必要なソフトウェアを自らインストールして使用したいという各部からの要求に対応するために、貸与しているPCの従業員の利用者IDに管理者権限を付与している。
[Q社のネットワーク構成]
Q社の情報システムの管理は、総務部情報システム係のD主任とEさんが行っている。Q社のネットワーク構成を図1に示す。
Fサーバ1及びFサーバ2には、PC上のWebブラウザを使ってアクセスする。利用者ID及びパスワードでログインした後、ファイルの格納及び取り出しが行える。Fサーバ1、Fサーバ2及びPCのそれぞれのhostsファイルには、プロキシサーバ、Fサーバ1及びFサーバ2のホスト名とIPアドレスが登録されている。
プロキシサーバの機能概要を表1に示す。
Q社では、PC及びサーバに、V社のマルウェア対策ソフトを導入し、リアルタイムスキャンを有効にしている。マルウェア定義ファイルは、PCでは起動時及び毎朝9時に、サーバでは毎朝9時に、自動でV社のマルウェア定義ファイル配布サイト(以下、V社配布サイトという)にHTTPSで接続し、更新している。PCの利用者及びサーバの管理者は、マルウェア対策ソフトの画面の操作によってマルウェア定義ファイルを手動で更新することもできる。さらに、別のPCを用いてマルウェア定義ファイルをV社配布サイトから手動でダウンロードし、そのファイルを保存したDVD-Rを用いて更新することもできる。Fサーバ1及びFサーバ2がインターネットと通信するのは、マルウェア定義ファイルの更新時だけである。
Fサーバ1及びFサーバ2に、OS及びアプリケーションソフトウェアの脆弱性修正プログラムを適用する場合、Eさんが、各ベンダのサイトから脆弱性修正プログラムをPCにダウンロードしてDVD-Rに保存し、サーバに適用している。
Eさんは、週次アクセスログ調査として、毎週月曜日の10時に、前週の月曜日から日曜日までのFサーバ1及びFサーバ2へのアクセスログを調査している。
FWは、ステートフルパケットインスペクション型である。FWでは、アドレス変換機能を使用していない。FWのフィルタリングルールを表2に示す。
[不審なログインの発見と対応]
Eさんが、12月9日月曜日に週次アクセスログ調査をしたところ、12月6日の11時から13時にFサーバ1及びFサーバ2にログインを試みて失敗した記録が多数見つかった。アクセス元は、営業部のGさんのPC(以下、PC-Gという)であった。Eさんが、10時40分にGさんに電話で問い合わせたところ、12月6日は、Fサーバ1及びFサーバ2にはログインを試みていないとのことであった。Eさんは、PC-Gがマルウェアに感染したおそれがあると考え、①マルウェア感染拡大防止のためのPC-Gの初動対応をGさんに指示した。また、Gさんへの代替PCの貸出しとPC-Gの回収を行い、PC-Gについてはマルウェア感染への対応として、ディジタルフォレンジックスによる調査を行うことにして②必要な情報を取得した。
Eさんからマルウェア感染のおそれがあるという報告を受けたD主任は、PC-Gで(a)という方法を使って(b)をした後に、フルスキャンを実施するようEさんに指示した。さらに、図2に示すマルウェアへの対処をQ社全体に指示することにした。
Eさんは、PC-Gのフルスキャンで検出されたマルウェア(以下、マルウェアXという)の駆除を16時に完了した。Eさんは、マルウェアXへの感染の経緯を確認するために、GさんにPC-Gの使用状況をヒアリングした。
Eさんは、図3に示す調査結果を、12月10日の13時にD主任に報告した。
報告を受けたD主任は、プロキシサーバに関して次の2点を指示した。
- Q社内からサイトPに接続できないようにするための管理者拒否リストの設定変更
- ③プロキシサーバのアクセスログに関して調査すべき範囲の漏れをカバーするための追加調査
Eさんは、設定変更したこと、及び追加調査の結果、問題がなかったことをD主任に報告した。D主任とEさんは、図3、設定変更の実施及び追加調査の結果を総務部長に報告した。総務部長は、今回のマルウェアXの感染を踏まえ、追加のマルウェア対策の検討を指示した。D主任とEさんは、次の項目を検討することにした。
項目1:万が一マルウェアに感染した場合の被害拡大を防ぐ対策
項目2:マルウェア感染のリスクを低減する対策
下線①について、初動対応の内容を15字以内で述べよ。:LANから切り離す。
「Eさんは、PC-Gがマルウェアに感染したおそれがあると考え、①マルウェア感染拡大防止のためのPC-Gの初動対応をGさんに指示した。」
PCがマルウェアに感染した場合、ネットワーク経由で他のPCやサーバなどへ感染を拡大する可能性があります。
これを阻止するためには、手っ取り早くマルウェアに感染したPCをネットワーク(LAN)から切り離すことです。
下線②について、どのような情報か。10字以内で答えよ。:ディスクイメージ
「また、Gさんへの代替PCの貸出しとPC-Gの回収を行い、PC-Gについてはマルウェア感染への対応として、ディジタルフォレンジックスによる調査を行うことにして②必要な情報を取得した。」
ディジタルフォレンジックスとは、マルウェアに感染したPCなどでその痕跡や破壊されたデータなどを保全し、その後の分析を行うことです。
保全については、PCの記憶媒体(ハードディスクやSSD)をそのままの状態であるディスクイメージとしてコピーしておく必要があります。
a:最新のマルウェア定義ファイルを保存したDVD-Rの使用、b:マルウェア定義ファイルの更新
「Eさんからマルウェア感染のおそれがあるという報告を受けたD主任は、PC-Gで(a)という方法を使って(b)をした後に、フルスキャンを実施するようEさんに指示した。」
PC-GはLANから切り離し回収した状態ですが、マルウェアに感染したままです。
PC-Gのマルウェア対策ソフトでフルスキャンを実施するとのことですが、マルウェアに感染したということはその時点でのマルウェア定義ファイルでは検出できなかった可能性があります。
したがって、最新のマルウェア定義ファイルに更新した後にフルスキャンを実施する必要がありそうです。
マルウェア定義ファイルの更新については、「PCの利用者及びサーバの管理者は、マルウェア対策ソフトの画面の操作によってマルウェア定義ファイルを手動で更新することもできる。さらに、別のPCを用いてマルウェア定義ファイルをV社配布サイトから手動でダウンロードし、そのファイルを保存したDVD-Rを用いて更新することもできる。」とあり、LANから切り離されているPC-Gへのマルウェア定義ファイルの更新は、DVD-Rを使用する方法を使用して行うことになるでしょう。
c:マルウェア対策ソフトの画面の操作
「貸与しているPCで、(C)という方法を使ってマルウェア定義ファイルの更新をした後、フルスキャンを実施する」
Q社全体への指示としてマルウェア定義ファイルの更新とフルスキャンを実施しますが、対象のPCはPC-Gとは異なりLANに接続しています。
したがって、マルウェア対策ソフトの画面の操作によってマルウェア定義ファイルの更新を行うことができます。
下線③について、追加調査の範囲を25字以内で具体的に述べよ。:Q社内の全てのPC及びサーバからのアクセス
「③プロキシサーバのアクセスログに関して調査すべき範囲の漏れをカバーするための追加調査」
プロキシサーバのアクセスログに関する調査範囲を確認します。
図3(調査結果)の「(4)プロキシサーバのアクセスログの調査」に「アクセス元IPアドレスがPC-Gであるアクセスを、プロキシサーバのアクセスログで、12月9日17時から3か月遡って調査した。調査の結果、Cリスト中のURLへのアクセスは、12月6日に1件だけであり、そのアクセスはURLフィルタリング機能で拒否されていた。」とあります。
調査範囲として対象機器と対象期間が適切かどうかですが、対象機器についてはPC-Gしか対象になっておらず、これでは他のPCやサーバへ感染拡大の可能性を考慮できていません。
したがって、対象機器としてQ社内の全てのPC及びサーバからのアクセスとします。
対象期間については、当該マルウェアXの活動開始時期は明記されていませんが、3か月前からのアクセスログを対象としているのは一般的に十分かと思われます。