情報処理安全確保支援士試験 令和3年度 秋期 午後2 問2
【出典:情報処理安全確保支援士試験 令和3年度 秋期 午後2 問2(一部、加工あり)】
[連携サーバ経由の感染状況の確認と感染拡大防止]
Eさんは、まず、連携サーバをネットワークから切り離し、ディスクイメージを保全した。また、化学コンの運営責任者を通して、化学コンの全会員に連携端末を一時的にネットワークから切り離してもらうよう連絡し、全ての会員で対応が完了したことを即日確認した。9月17日、Eさんは連携サーバの担当者にヒアリングを実施した。ヒアリングの際に、連携サーバに存在するログファイルを担当者に確認してもらったところ、最も古いものは7月19日に生成されたものであることが分かった。Eさんは、マルウェアβの感染を拡大させている可能性があることから、会員でも何らかの対処が必要であり、会員によってはPCやサーバで、駆除ツールを実行しなければいかないと考えた。また、駆除ツールが扱える技術者を多数確保することは難しいので、全ての会員に対して一斉に対処をすることはできないと判断し、次の対処方針を定めた。
- 感染調査手順書を作成し、各会員の担当者に調査を依頼する。その調査結果から、会員をグループAとグループBに分ける。
グループA:感染の疑いが強く、より早期に対処が必要な会員
グループB:それ以外の会員 - グループAの会員には、P氏と駆除ツールが扱える技術者が連携端末設置場所に赴き、駆除ツールを用いて連携端末上のマルウェアβを駆除する。さらに、マルウェア感染に伴う会員側の被害を確認し、その対処をA社が支援する。
- グループAの全会員での駆除が完了した後に、グループBの会員に対して同様の手順で駆除を含めた対応を行う。
[感染調査手順書のレビュー]
Eさんは感染調査手順書案を作成し、P氏にレビューを依頼した。表4は感染調査手順書案を記載した感染調査項目、図9はP氏からのレビュー回答である。
EさんはP氏の指摘2に対する改善案として、表5に示す感染調査項目を追加し、調査2の調査結果が”記録あり”である場合もグループAと判定することにした。
Eさんは、再びP氏のレビューを受けた。次は、再レビュー時のP氏とEさんの会話である。
P氏:今回の感染調査の目的は、感染の疑いが強い会員を見つけることなので、調査2の内容は良いと思います。提案なのですが、仮に今回の感染調査の結果、大多数の会員がグループAと判定された場合、グループ分けの意義が薄れてしまいます。グループAと判定された会員の中から、更に対処を優先する会員を絞ってはどうでしょうか。
Eさん:対処を優先する会員をどのように絞ればよいのでしょうか。
P氏:⑦連携端末からほかのPCやサーバへの感染拡大が明らかな会員に絞るのであれば、調査2に使う通信記録から絞ることができると思います。グループAと判定された会員企業であっても、この通信記録がなかった会員は、⑧既に行っている対応から考えて、感染を拡大させるリスクは相対的に低いと考えることができます。
EさんはP氏の指摘や助言に従い感染調査手順書を修正し、会員に送付した。七つの会員がグループAと判定されたものの、どの会員にも深刻な被害は確認されなかった。A社はその後もインシデント対応を進め、社内の詳しい調査を経て、攻撃者の活動は初期調査結果どおりだったことも確認した。対策1と対策2の暫定対策と恒久対策を完了したA社は、対策本部を解散し、再発防止に向けた新たな取組の検討に着手した。
g:7月14日
「指摘1:対象期間の開始日は、本来は、保存されている最も古いイベントログの日付にすべきだが、せめて連携サーバに細工されたファイルが置かれていた可能性のある最も早い日付である(g)にする必要がある」
表4(感染調査項目)の調査1では、連携端末の対象期間の開始日は7月19日となっています。
これは直前にある「ヒアリングの際に、連携サーバに存在するログファイルを担当者に確認してもらったところ、最も古いものは7月19日に生成されたものであることが分かった。」に示されているとおり、連携サーバ側のログファイルの日付になっています。
連携サーバに細工されたファイルが置かれたのは、このログファイルの日付よりも前になる可能性がありそうです。
図8(初期調査結果(概要))のタイムラインで確認すると、「7月14日」にFさんの業務PCがマルウェアα、βに感染したことが分かります。
したがって、「7月14日」には連携サーバに細工されたファイルが置かれていた可能性があることから、対象期間の開始日はこの日とするのが適当でしょう。
h:IPリストに登録されたIPアドレス
「宛先:(h)」
表5(追加した感染調査項目)の調査2として、「対象期間中の会員FWのログに、次(送信元:任意のIPアドレス、宛先:(h))に該当する送信元から宛先への通信記録が存在する場合」で記録があった場合にグループA(感染の疑いが強く、より早期に対処が必要な会員)と判定することにしたものです。
これはP氏の指摘2「マルウェアβの特徴を踏まえると、会員内での感染の広がりも考慮する必要がある。本来は、会員の全てのPCを確認してもらうべきだが、せめて会員FWのログの確認は追加で依頼する必要がある」に対する改善策です。
表4(感染調査項目)の調査1では連携端末を調査していますが、会員内での感染を考慮した指摘となっているようです。
マルウェアβの特徴は表2(マルウェアの特徴)にあり、この中で会員FWのログに残る機能としては遠隔操作機能の「C&Cサーバと通信を確立し、収集した情報をC&Cサーバに送信する。」が該当するようです。
そして、宛先となるC&CサーバのIPアドレスについては、「マルウェアαとマルウェアβにはC&CサーバのIPアドレスとFQDNのリストが埋め込まれていました。そのIPアドレス、及びそのFQDNのDNSの正引き結果のIPアドレスの二つを併せたIPアドレスのリスト(以下、IPリストという)を手作業で作成しておき、IPリストに登録されたIPアドレスへの通信をUTMで拒否します。」とあるようにIPリストに登録されていることが分かりますので、これが会員FWの宛先となる通信となります。
⑦について、どのような通信記録があった会員が該当するか。通信記録の内容を30字以内で具体的に述べよ。:連携端末以外の IP アドレスを送信元とする通信記録
「⑦連携端末からほかのPCやサーバへの感染拡大が明らかな会員に絞るのであれば、調査2に使う通信記録から絞ることができると思います。」
調査2では会員FWのログから宛先をC&Cサーバとする通信を対象にしていましたが、送信元は任意でした。
感染拡大したPCやサーバでも宛先をC&Cサーバとする通信が発生する可能性があることから、送信元を連携端末以外のIPアドレスとする通信を調査対象にすればいいでしょう。
下線⑧について、どのような対応か。30字以内で述べよ。:連携端末を一時的にネットワークから切り離した対応
「グループAと判定された会員企業であっても、この通信記録がなかった会員は、⑧既に行っている対応から考えて、感染を拡大させるリスクは相対的に低いと考えることができます。」
通信記録がないということは、連携端末からほかのPCやサーバへの感染拡大がなかったと考えることができます。
そして、連携端末に対する既に行っている対応については、「また、化学コンの運営責任者を通して、化学コンの全会員に連携端末を一時的にネットワークから切り離してもらうよう連絡し、全ての会員で対応が完了したことを即日確認した。」とあるように、一時的にネットワークから切り離しています。
このことから感染拡大のリスクは低いと考えることができそうです。