【情報処理安全確保支援士試験 令和4年度 秋期 午後1 問3 No.1】

情報処理安全確保支援士試験 令和4年度 秋期 午後1 問3

【出典：情報処理安全確保支援士試験 令和4年度 秋期 午後1 問3（一部、加工あり）】

問3 オンラインゲーム事業者でのセキュリティインシデント対応に関する次の記述を読んで、設問に答えよ。

 M社は従業員100名のオンラインゲーム事業者である。M社のゲームは利用者がWebブラウザからインターネット経由でアクセスして利用する。M社には開発部及び運用部があり、各従業員にはPCが貸与されている。M社の各PC及び各サーバには、固定のIPアドレスが割り当てられており、コンテナエンジンがインストールされている。M社のネットワーク構成を図1に、機器の概要を表1に示す。

 M社では、定期的にゲームアプリを更新する。開発部は新たなバージョンのゲームアプリに対して品質テストを行い、品質テストが完了したゲームイメージのタグを運用部に伝達する。運用部は図2に示す更新手順でゲームアプリを更新する。

[セキュリティインシデントの発生]
 運用部のHさんは、3月6日に開発部からタグ367を伝達され、同日10時に更新手順を開始し、3.までを終えた。同日13時40分、Hさんは、ゲームサーバ1が応答していないことに気付き、LBメンバをゲームサーバ3及びゲームサーバ4だけにした後、ゲームサーバ1上のコンテナを確認した。Hさんが確認したコンテナの一覧を表2に示す。

 Hさんはゲームサーバ1での更新の際に誤ってタグ（a）のゲームイメージを取得したことに気付いた。またゲームサーバ1で稼働中のコンテナ内ではgame.out及びprogというプロセスが実行中であったが、ゲームサーバ2で稼働中のコンテナ内にはprogというプロセスがなかったので、開発部に確認した。その結果、図3に示す内容が判明した。

 Hさんは、ゲームサーバ1上でコードZが実行されたと判断し、運用部のK主任に報告した。次は、その時のHさんとK主任との会話である。

Hさん：progという名称のファイルはタグ（a）のゲームイメージに含まれていないのに、どうしてprogというプロセスが実行中だったのでしょうか。
K主任：①攻撃者がコードZに指示した命令が原因だと考えられます。
Hさん：初動対応としては、ゲームサーバ1で、まず、詳細調査に用いるOSのメモリダンプを取り、次に、稼働中のコンテナを修了すればよいでしょうか。
K主任：コンテナを修了すると、メモリ上のデータに加えて（b）も消失してしまいます。コンテナは修了するのではなく、一時停止してください。
Hさん：分かりました。初動対応でそのほかにすべきことはありますか。
K主任：過去に、②対策情報が公開される前の脆弱性を悪用した攻撃がコンテナを介して行われ、コンテナエスケープと呼ばれるホストへの侵害が発生した事例があったので、注意してください。それから、ほかのサーバへの被害も調査してください。
Hさん：分かりました。

a：376

「Hさんはゲームサーバ1での更新の際に誤ってタグ（a）のゲームイメージを取得したことに気付いた。」
 表2（ゲームサーバ1上のコンテナの一覧）では、3月6日10時05分にタグ351のコンテナが終了され、3月6日10時14分にタグ376のコンテナIDが起動されていることが分かります。
 タグについては、「運用部のHさんは、3月6日に開発部からタグ367を伝達され、同日10時に更新手順を開始し、3.までを終えた。」とあるように本来はタグ367のコンテナであるべきものが、誤ってタグ376となっていることが分かります。

下線①について、どのような命令か。30字以内で答えよ。：progというファイルをダウンロードし、実行する命令

「①攻撃者がコードZに指示した命令が原因だと考えられます。」
 これは直前の「progという名称のファイルはタグ（a：376）のゲームイメージに含まれていないのに、どうしてprogというプロセスが実行中だったのでしょうか。」に対する回答です。
 イメージに含まれていないということは、外部から後で注入されたものと考えられるでしょう。
 ゲームサーバについては表1（M社の機器の概要）に、「当該コンテナ内のプロセスによるファイルシステムへのアクセスは、ゲームイメージに含まれるファイルの読込み、並びに一時ディレクトリ内のファイルの作成、読込み、書込み及び実行だけに制限されている。ネットワーク接続の接続先には制限がない。」とあるように、ゲームサーバからインターネット上の攻撃者が準備したサーバなどへアクセスすることは可能であることが分かります。
 したがって、攻撃者からコードZへprogというファイルをダウンロード、実行することを指示したことが想定できます。

b：一時ディレクトリ内のログ

「コンテナを修了すると、メモリ上のデータに加えて（b）も消失してしまいます。」
 前の設問と同様に、ゲームサーバについて表1（M社の機器の概要）に、「ゲームアプリはログを一時ディレクトリに出力する。一時ディレクトリはコンテナ起動時に作成され、コンテナ終了時に消去される。」とあります。
 セキュリティインシデントでは、復旧を急ぐあまり初動対応でサーバ停止などを行いがちですが、詳細調査のために最低限必要なログは入手しておくことが重要です。

下線②が示す攻撃の名称を答えよ：ゼロデイ攻撃

「過去に、②対策情報が公開される前の脆弱性を悪用した攻撃がコンテナを介して行われ、コンテナエスケープと呼ばれるホストへの侵害が発生した事例があったので、注意してください。」
 知識問題です。
 機器などの脆弱性が発見されてから修正プログラムなどの対策情報が公開される前（時間が0日）であることから、ゼロデイ攻撃と言います。