【情報処理安全確保支援士試験 令和4年度 秋期 午後2 問2 No.1】

情報処理安全確保支援士試験 令和4年度 秋期 午後2 問2

【出典：情報処理安全確保支援士試験 令和4年度 秋期 午後2 問2（一部、加工あり）】

問2 インシデントレスポンスチームに関する次の記述を読んで、設問に答えよ。

 K社は、従業員500名の輸入卸売業者である。拠点は、本社、営業所2か所、倉庫1か所の計4か所である。K社のネットワーク及び機器並びに関連する規程の整備は、情報システム課が担当している。K社のネットワーク構成を図1に、各サーバで取得しているログの内容を表1に示す。

[マルウェアαの検知と対応]
 K社では、PCにマルウェア対策ソフトを導入しており、リアルタイムスキャンとスケジュールスキャンを実施している。マルウェア対策ソフトの管理サーバはクラウドサービス上にある。マルウェア定義ファイルは、PCを起動したときに更新される。スケジュールスキャンは、毎週月曜日の10:00に実施される。
 ある月曜日、情報システム課のW主任がスケジュールスキャンの結果を確認していたところ、10台のPCでマルウェアαが検出され、駆除されていた。W主任が、マルウェアαについてインターネット上で公開されている情報を調べたところ、次のことが分かった。

• マルウェアαは、8日前に発見された。
• K社で利用しているマルウェア対策ソフトの定義ファイルにマルウェアαが登録されたのは、昨日だった。
• 細工されたマクロ（以下、マクロGという）が仕込まれてる、表計算ソフト（以下、Vソフトという）のデータファイル（以下、ファイルGという）を開いて、マクロGを実行してしまうと、攻撃者のWebサーバからマルウェアαがダウンロードされ、起動される。
• マルウェアαは、起動すると、PC上のメールフォルダにある電子メール（以下、電子メールをメールという）を読み出して、攻撃者が用意したWebサーバにアップロードする。その後、OS設定を変更して、OSログイン時にマルウェアαが自動起動されるようにする。

 なお、K社で利用しているメールソフトでは、メールは1通が1ファイルとしてPCのメールフォルダ内に保存されている。
 マルウェアαが検出されたPCのログとプロキシサーバのログを調べた結果、これらのPCの中には、先週の水曜日以降、攻撃者のWebサーバのものと思われるURLにファイルをアップロードしているPCがあったことが分かった。W主任は、調査の結果を上司のM課長に報告した。
 M課長から調査と対応の指示を受けたW主任は、K社に機器を納入しているP社に支援を依頼した。依頼に応じたP社の情報処理安全確保支援士（登録セキスペ）であるU氏の協力を得て、W主任は、アップロードされたファイルの特定並びにマルウェアα及びファイルGの削除を進め、調査と対応を完了した。

[定義ファイルに登録されていないマルウェアの検知]
 マルウェアαへの調査と対応が完了した後、W主任は、マルウェア対策ソフトの定義ファイルに登録されていないマルウェアも検知したいと考え、どうすればよいかU氏に相談した。U氏は、その用途に使用可能な製品として、EDR（Endpoint Detection and Response）があることを説明し、製品Cを提案した。製品Cは、各PCに導入し、クラウドサービス上の管理サーバから操作する。製品Cの機能を表2に示す。

 例えば、マルウェアαは、PCで起きたイベントから製品Cを使って検知できる。マルウェアαの特徴的なイベントは、同じサイズのファイルに対する①ファイル操作のイベント及び②ネットワーク動作のイベント、並びにログイン時の自動起動に関するOS設定の変更のイベントである。これらのイベントが、短時間のうちにこの順序で発生したことを検知すればよい。
 続けて、U氏は、P社が提供可能な、製品Cに関連するサービスを表4を示して説明した。

 W主任は、次の三つを軸としたEDR導入案をまとめ、M課長の承認を得た。

• 社内の全PCに製品Cを導入する。
• 製品Cを使ったマルウェアの検知及び対応のための体制（以下、E体制という）を立ち上げる。
• 表4の解析サービスは必要に応じて利用するが、その他のサービスは利用しない。

 3か月後、製品Cを全PCに導入し、E体制を立ち上げた。E体制のチームリーダはM課長、メンバーはW主任を含む情報システム課の課員3名である。
 まずは、図3の検知ルールだけを用いて試験運用を開始した。

下線①、②について、検知するための単純ルールを、それぞれ30字以内で具体的に述べよ。：①メールフォルダ内のファイルが読み込まれた。②HTTPでファイルがアップロードされた。

「マルウェアαの特徴的なイベントは、同じサイズのファイルに対する①ファイル操作のイベント及び②ネットワーク動作のイベント、並びにログイン時の自動起動に関するOS設定の変更のイベントである。」
 マルウェアαの特徴について、「マルウェアαは、起動すると、PC上のメールフォルダにある電子メール（以下、電子メールをメールという）を読み出して、攻撃者が用意したWebサーバにアップロードする。」とあります。
 したがって、ファイル操作のイベントとしては「メールフォルダにあるメールの読み出し」、ネットワーク動作としては「読み出したメールを攻撃者が用意したWebサーバにアップロードする」ことを製品Cでルール化すれば良さそうです。
 製品Cで扱うイベントについては、表3（イベントの情報）に、「ファイル操作：プロセス名、操作種別（読込み、書込み、上書き、削除など）、操作されたファイルのパス名・ファイルサイズ・タイムスタンプ・種別（OSのシステムファイル、ログファイルなど）」、「ネットワーク動作：通信相手先のIPアドレス、サービス、通信の方向、通信データのサイズ、通信相手先のURL、動作種別（ファイルのアップロード、ファイルのダウンロードなど）、アップロード又はダウンロードされたファイルのサイズ」とあります。
 そして、製品Cでの単純ルールについては、図2（検知ルールの仕様）に「単純ルールには、一つのイベント内の各イベントの情報を条件として複数組み合わせて指定できる。条件としては、値が一致する/しない、範囲内である/ない、列挙された値のいずれかに一致する/いずれにも一致しない、文字列として含まれる/含まれないが指定できる。」とあります。
 これらの情報から、ファイル操作のイベントである「メールフォルダにあるメールの読み出し」としては、操作されたファイルのパス名が「メールフォルダ内のファイル」、操作種別が「読込み」となります。
 ネットワーク動作のイベントである「読み出したメールを攻撃者が用意したWebサーバにアップロードする」としては、サービスが「HTTP」、動作種別が「ファイルのアップロード」となります。