【情報処理安全確保支援士試験 令和4年度 秋期 午後1 問2 No.1】

情報処理安全確保支援士試験 令和4年度 秋期 午後1 問2

【出典：情報処理安全確保支援士試験 令和4年度 秋期 午後1 問2（一部、加工あり）】

問2 脆弱性に起因するセキュリティインシデントへの対応に関する次の記述を読んで、設問に答えよ。

 U社は、従業員200名の食品製造業である。情報システム部がシステムを管理している。U社のネットワーク構成を図1に、サーバの機能概要を表1に示す。

 FWのフィルタリングルールを表2に示す。

[セキュリティインシデントの報告と調査]
 ある日、予約サーバでCPU使用率が高い状態が継続するという問題が発生した。情報システム部の予約サーバの担当者が調査したところ、普段予約サーバでは、BSoftMainとSBMainというTソフトのプロセスが稼働しているが、この日はrunという名称の見慣れないプロセス（以下、runプロセスという）も稼働していた。サーバ内で一定間隔で取得しているプロセスの一覧から、runプロセスが13:07:00からCPU使用率を上げていたことが判明した。
 この結果を受け、情報システム部のD主任はセキュリティインシデントの疑いがあると判断し、上司の報告の上、予約サーバの調査を開始した。
 13:07:00における予約サーバのプロセス一覧とコネクション一覧を表3と表4にそれぞれ示す。

 表3と表4からrunプロセスの外部への通信の有無を確認したところ、IPアドレスが（a）のホストに対して通信を行っていたことが確認できた。また、（a）を確認したところ、海外のIPアドレスであり、予約サーバの通信先として想定されているものではなかった。D主任は上司の報告し、予約サーバをネットワークから隔離した。

a：a3.b3.c3.d3

「表3と表4からrunプロセスの外部への通信の有無を確認したところ、IPアドレスが（a）のホストに対して通信を行っていたことが確認できた。」
 まずは表3（予約サーバのプロセス一覧（抜粋））からrunプロセスを確認すると、プロセスID：200が該当しています。
 そして、表4（予約サーバのコネクション一覧（抜粋））でプロセスID：200のコネクションは、宛先：a3.b3.c3.d3でHTTPで通信していることが分かります。