【情報処理安全確保支援士試験 令和4年度 春期 午後1 問2 No.1】
情報処理安全確保支援士試験 令和4年度 春期 午後1 問2
【出典:情報処理安全確保支援士試験 令和4年度 春期 午後1 問2(一部、加工あり)】
問2 セキュリティインシデント対応に関する次の記述を読んで、設問1〜4に答えよ。
Z社は、Network Attached Storage(NAS)製品、ルータ製品などのネットワーク機器を開発、保守している従業員200名の会社であり、国内の中小企業の顧客を中心に事業を展開している。NAS製品である製品Xは、ファイル共有の用途で利用され、ルータ製品である製品Yは、インターネット接続の用途で利用されている。製品X及び製品Yは、LinuxをベースとしたOSを搭載している。
Z社では、インターネットドメイン名z-sha.co.jpを取得している。製品Xの利用者は、インターネットからWebインタフェース経由で自身の製品Xにアクセスするに際して、Z社が提供しているダイナミックDNSサービス(以下、DDNS-Zという)を利用することができる。
[障害の発生]
ある日、製品Xと製品Yを利用しているA社から、Z社の保守サポート窓口に障害の報告が入った。製品X(以下、A社に設置された製品XをNAS-Aという)上のファイルにおいて、ファイル名は表示されるがファイルを開くことができないとのことであった。
障害報告によると、A社は、オフィス環境のデザイン及び施工を行う従業員30名の会社であり、デザインデータのファイルをNAS-Aに保存して社内で共有している。在宅勤務者の増加に伴い、7日前に、NAS-A及び製品Y(以下、A社に設置された製品Yをルータ-Aという)の設定を変更して、A社の従業員の自宅からNAS-A上のファイルにアクセスできるようにしていた。
[NAS-A及びルータ-Aの調査]
Z社の保守サポート課のK氏は、A社の障害調査を担当することになった。
NAS-Aは、DDNS-Zを使用して、https://nas-a.z-sha.co.jp/のURLでアクセスできるようになっていた。ルータ-AのグローバルIPアドレスが変更された場合、Z社のDNSサーバの設定でホスト名nas-aに割り当てているIPアドレスを変更するために、(a)レコードを更新する。そのレコードの(b)は、300秒に設定されていた。
A社のネットワーク構成を図1に、NAS-Aの設定内容を表1に、ルータ-Aの設定内容を表2に示す。
K氏がNAS-Aを調査した結果、次のことが分かった。
- デザインデータのファイルが暗号化され、ファイル名の拡張子が変更されていた。
- A社では身に覚えのない、英語で書かれた脅迫文のテキストファイルが、NAS-Aに保存されていた。
- ファイル共有機能でもWeb操作機能でもアクセスできない/rootディレクトリ配下のファイルも暗号化されていた。
K氏は、今回の障害がランサムウェアに起因するものであり、さらに、②A社のPCがランサムウェアに感染したのではなく、NAS-A自体がランサムウェアに感染したことによってNAS-Aのファイルが暗号化された可能性が高いと判断した。そこで、脆弱性、アクセスログ、DDNS-Zの三つの観点から更に調査を進めることにした。
a:A、b:TTL
「ルータ-AのグローバルIPアドレスが変更された場合、Z社のDNSサーバの設定でホスト名nas-aに割り当てているIPアドレスを変更するために、(a)レコードを更新する。そのレコードの(b)は、300秒に設定されていた。」
Z社のDNSサーバについては、「製品Xの利用者は、インターネットからWebインタフェース経由で自身の製品Xにアクセスするに際して、Z社が提供しているダイナミックDNSサービス(以下、DDNS-Zという)を利用することができる。」とあるように、利用者側でDNSサーバの設定が行えるようです。
(a)について、DNSサーバの設定でホスト名とIPアドレスの紐付けを行うのはAレコードです。
(b)について、Aレコードに設定する時間はTTL(Time To Live)でしょう。
TTLは、DNSサーバから取得したIPアドレス情報をキャッシュとして保存する時の有効な時間のことです。
下線①について、WAN側でUPnP機能を有効にできる仕様とした場合、ルータ-Aが操作されることによって、どのようなセキュリティ上の問題が発生するか。発生する問題を、30字以内で述べよ。:外部からLAN側への通信の許可設定が変更される。
「WAN側は、本機能を有効にできない仕様になっている。」
本機能、つまりUPnP機能について確認します。
表1(NAS-Aの設定内容)から、NAS-AでUPnP設定要求機能を有効にすると、「左記の設定にすると、製品Y(=ルータ-A)のWAN側ポート宛てのパケットをNAS-Aのポートにフォワードする設定を製品Y(=ルータ-A)に要求する。」とあるように、ルータ-AのWAN側に443/tcp宛てのパケットをNAS-Aの443/tcp宛てにポートフォワードするよう、ルータ-Aに要求します。
そして、表2(ルータ-Aの設定内容)から、ルータ-AでUPnP機能をLAN側で有効にすると、「LAN側からの受け付けたリクエスト(=UPnP設定要求機能)の内容で、ポートフォワーディングの設定とファイアウォール機能の設定を行う。」とあるように、LAN側機器からルータ-Aの設定が自由に行えることになります。
したがって、WAN側でUPnP機能を有効にするとインターネット(外部)からルータ-Aの設定が自由に行えることになり、それは通常は許可されない外部からLAN側への通信の設定が、許可されるように変更される問題が発生することになります。
下線②のように判断した理由を、40字以内で述べよ。:PCからのファイル操作ではアクセスできない領域のファイルが暗号化されていたから
「K氏は、今回の障害がランサムウェアに起因するものであり、さらに、②A社のPCがランサムウェアに感染したのではなく、NAS-A自体がランサムウェアに感染したことによってNAS-Aのファイルが暗号化された可能性が高いと判断した。」
K氏の調査結果により、NAS-A上のファイルの暗号化や拡張子変更、脅迫文のテキストファイルが保存されていることから、ランサムウェアに感染したと判断しました。
NAS-A上のファイルは、表1(NAS-Aの設定内容(抜粋))のファイル共有機能、Web操作機能によってPCからNAS-Aにアクセスできるため、PCがランサムウェアに感染した可能性があります。
しかし、「ファイル共有機能でもWeb操作機能でもアクセスできない/rootディレクトリ配下のファイルも暗号化されていた。」という記述があります。
表1のWeb管理機能によって管理者権限のアカウントでログインすればこのような操作も可能かもしれませんが、NAS-A自体がランサムウェアに感染した可能性が高いと判断するのが妥当でしょう。
