【情報処理安全確保支援士試験 令和4年度 秋期 午後2 問2 No.2】

情報処理安全確保支援士試験 令和4年度 秋期 午後2 問2

【出典：情報処理安全確保支援士試験 令和4年度 秋期 午後2 問2（一部、加工あり）】

[マルウェアβの検知]
 製品C導入から6か月ほど経ったある日、マルウェア対策ソフトのスケジュールスキャンの結果を確認したところ、3台のPC（以下、PC1、PC2、PC3という）で同一のマルウェアが検知され、駆除に失敗していた。図4は、製品Cが記録したPC1〜3のイベントのうち、PC1〜3に共通しており、特徴的と思われたVソフト及びUSBメモリに関するイベントを、OSログインのイベントとともに抜粋したものである。

 W主任は、調査のためP社に解析サービスを発注し、図4のイベントの解析を依頼した。
 P社は、推測した状況を表5のとおり報告した。

 P社の報告を受けたW主任は、③マルウェアβが埋め込まれたファイルの削除など必要な対応を完了した。P社がマルウェアβの検体を静的解析したところ、表5の発生順序3〜5の事象について裏付けが取れた。また、マルウェアβは、追加のマルウェアをダウンロードする機能をもっていたが、ダウンロードに失敗していたことも分かった。その後、U氏は、”P社の運用サービスでは、このような場合は、すぐに検知ルールを作成し、登録します”とW主任に提案した。

a：15:03、b：PC1、c：file1.v、d：file2.v、e：PC2

 表5（P社による推測）では、発生順序、日時、事象が記載されていて、各項目がPC1〜3のどれに該当するかは不明です。
 各事象が、表4（製品Cが記録したPC1〜3のイベント（抜粋））のPC1〜3に該当する部分があるかを確認します。

1. USBメモリが、（b）に装着された。そのUSBメモリには、（c）というファイルが存在していたが、そのファイルにはマルウェアβという新種のマルウェアが潜んでいた。→PC1、PC2、PC3
2. （c）が（b）のCドライブにコピーされた。→PC1、PC2
3. Cドライブ上の（c）を開いて、マクロを実行したところ、マルウェアβが起動した。その直後に、ファイル利用履歴の中から選ばれたと思われる（d）というファイルが開かれ、マルウェアβがマクロとして埋め込まれた後、直ちに上書き保存された。→PC1
4. （e）上で、利用者が（d）を開いて、マクロを実行したので、（e）にも感染が広がった。
5. さらに、3台目のPCにも感染が広がった。
6. 5月22日に更新されたマルウェア定義ファイルにマルウェアβが登録されたので、スケジュールスキャンによってPC1〜3のCドライブでマルウェアβが検知された。

 1〜3項については、PC1（b）の内容のようです。
 PC1にUSBメモリが装着されたのは、5月19日 15:03（a）です。
 USBメモリに存在していたファイルはfile1.v（c）で、それがCドライブにコピーされ、マクロを実行し、file2.v（d）が開かれ、上書き保存されました。
 次に、4項については、file2.v（d）を開いてマクロを実行して感染したとあり、PC2は5月19日 17:25、PC3は5月20日 14:39にfile2.vを読み込んだログがあり、先に感染したのはPC2（e）のようです。

下線③について、PC1〜3の内蔵SSD及びファイルサーバから削除すべきファイルは何か。：PC1のC:¥file1.v、PC2のC:¥file6.v、PC2のC:¥file8.v、PC3のC:¥file4.v、共有フォルダ内のfile2.v

「P社の報告を受けたW主任は、③マルウェアβが埋め込まれたファイルの削除など必要な対応を完了した。」
 前の設問からPC1のC:¥file1.v、共有フォルダ内のfile2.vはマルウェアβに感染しことが分かっています。
 これらのファイルを実行してマルウェア感染したファイルを各PCのログから確認します。
 PC2では19日 17:25にfile6.v、そして20日 11:15にfile6.vからfile8.vが、PC3では20日 14:39にfile4.vが感染したことが読み取れます。