【情報処理安全確保支援士試験 令和4年度 秋期 午後2 問1 No.1】

情報処理安全確保支援士試験 令和4年度 秋期 午後2 問1

【出典:情報処理安全確保支援士試験 令和4年度 秋期 午後2 問1(一部、加工あり)】

問1 脅威情報調査に関する次の記述を読んで、設問に答えよ。

 L社は、従業員200名のセキュリティ関連会社である。L社の脅威情報調査部(以下、Q部という)は、国内で流行しているマルウェアを解析したり、攻撃者グループの攻撃手法を調査したりして、顧客にレポートを提供する事業を行っているほか、四半期レポートを作成して公開している。Q部が管理するネットワークの概要を図1に、システムの概要を表1に示す。

 Dシステムの概要を図2に、Dシステムの概要要素の説明を表2に示す。

 各OF環境内のルータには、”内部モード”と”公開モード”の二つのモードがあり、各モードでは、表3に示す通信制御のルールに従って各OF機器とそれ以外との間での通信制御が行われる。初期設定は内部モードである。


[検体の解析作業]
 四半期レポートの作成チームのリーダーはQ部のY主任であり、メンバーは新人アナリストのTさんである。Tさんは、現在国内で感染が確認されている3種類の検体(以下、検体α、検体β、検体γという)の解析作業を担当する。Tさんは、3種類の検体を解析環境で実行し、挙動を確認するようY主任から指示を受けた。Tさんは、各検体を実行し、簡易的な解析を実施した。Tさんが確認した挙動と簡易的な解析の結果を表4に示す。

 Tさんは、これらの検体の挙動と解析の結果を報告書にまとめ、Y主任に報告した。次は、報告後のTさんとY主任の会話である。

Tさん:今日は金曜日なので、解析環境の仮想マシンは帰宅前に全てシャットダウンして、週明けに改めて解析環境を使い、追加の調査をしようと思います。
Y主任:近年の攻撃の傾向を考えると、②今日確認した検体αの挙動が、検体αを週明けに再実行した時には、攻撃者による変更によって再現できなくなる可能性がある。念のため、今の仮想マシンの状態を保存しておいてほしい。その上で、週明けに改めて解析環境で検体αを実行してみよう。

 Tさんは、指示に従って保存作業を実施した。週明け、Tさんが改めて検体αを実行したところ、表4の挙動が再現できることを確認した。Tさんは、追加の調査を実施し、Y主任に最終報告をした。その後のQ部内の会議で、検体αはDシステムを用いて詳細に解析すること、検体βは詳細な解析を見送ること、検体γは現在の解析環境ではこれ以上解析できないので、③別の環境を構築して解析することが決定した。Tさんが、検体αをDシステム上で実行し、インターネットとの通信を解析することになった。

下線①の挙動を特徴とするマルウェアの種類は?:ファイルレスマルウェア

ダウンロードしたプログラムコードは、①ディスクには展開されずメモリ内だけに展開される
 ディスクには展開されないとはファイルが作成されないということで、この挙動を特徴とするマルウェアのことをファイルレスマルウェアといいます。

下線②について、再現ができなくなるのは、攻撃者によって何が変更される場合か。攻撃者によって変更されるものを15字以内で答えよ。:C&CサーバのIPアドレス

近年の攻撃の傾向を考えると、②今日確認した検体αの挙動が、検体αを週明けに再実行した時には、攻撃者による変更によって再現できなくなる可能性がある。
 検体αの挙動は、表4(Tさんが確認した挙動と簡易的な解析の結果)から「C&Cサーバに接続し、プログラムコードをダウンロードした。」とあるように、C&Cサーバとの通信でした。
 この挙動が、攻撃者による変更によって再現できなくなる状態を考えます。
 例えば、通信先となるC&CサーバのIPアドレスやFQDN、ダウンロードさせるプログラムコードの内容などを変更することが考えられます。
 そして、近年の攻撃の傾向を考える場合、攻撃者はファイアウォールで通信を拒否されることを避けるために、C&CサーバのIPアドレスの変更を頻繁に行っています。

下線③について、現在の解析環境との違いを20字以内で答えよ。:仮想マシンではない実機環境を使う

その後のQ部内の会議で、検体αはDシステムを用いて詳細に解析すること、検体βは詳細な解析を見送ること、検体γは現在の解析環境ではこれ以上解析できないので、③別の環境を構築して解析することが決定した。
 検体γの挙動は、表4(Tさんが確認した挙動と簡易的な解析の結果)から「自身のデータの一部を削除して、すぐに終了した。」「自身が仮想マシン上で動作していることを検知すると、システムコールを使用して自身のプログラムコード中の攻撃コードを削除した後、終了する。」とあるように、仮想マシン上では攻撃コードが削除され、解析できない状態になります。
 したがって、仮想マシンとは異なる解析環境、つまり実機環境を使って解析することが必要です。