【情報処理安全確保支援士試験 令和4年度 秋期 午後2 問2 No.2】

情報処理安全確保支援士試験 令和4年度 秋期 午後2 問2

【出典:情報処理安全確保支援士試験 令和4年度 秋期 午後2 問2(一部、加工あり)】

[マルウェアβの検知]
 製品C導入から6か月ほど経ったある日、マルウェア対策ソフトのスケジュールスキャンの結果を確認したところ、3台のPC(以下、PC1、PC2、PC3という)で同一のマルウェアが検知され、駆除に失敗していた。図4は、製品Cが記録したPC1〜3のイベントのうち、PC1〜3に共通しており、特徴的と思われたVソフト及びUSBメモリに関するイベントを、OSログインのイベントとともに抜粋したものである。

 W主任は、調査のためP社に解析サービスを発注し、図4のイベントの解析を依頼した。
 P社は、推測した状況を表5のとおり報告した。

 P社の報告を受けたW主任は、③マルウェアβが埋め込まれたファイルの削除など必要な対応を完了した。P社がマルウェアβの検体を静的解析したところ、表5の発生順序3〜5の事象について裏付けが取れた。また、マルウェアβは、追加のマルウェアをダウンロードする機能をもっていたが、ダウンロードに失敗していたことも分かった。その後、U氏は、”P社の運用サービスでは、このような場合は、すぐに検知ルールを作成し、登録します”とW主任に提案した。

a:15:03、b:PC1、c:file1.v、d:file2.v、e:PC2

 表5(P社による推測)では、発生順序、日時、事象が記載されていて、各項目がPC1〜3のどれに該当するかは不明です。
 各事象が、表4(製品Cが記録したPC1〜3のイベント(抜粋))のPC1〜3に該当する部分があるかを確認します。

  1. USBメモリが、(b)に装着された。そのUSBメモリには、(c)というファイルが存在していたが、そのファイルにはマルウェアβという新種のマルウェアが潜んでいた。→PC1、PC2、PC3
  2. c)が(b)のCドライブにコピーされた。→PC1、PC2
  3. Cドライブ上の(c)を開いて、マクロを実行したところ、マルウェアβが起動した。その直後に、ファイル利用履歴の中から選ばれたと思われる(d)というファイルが開かれ、マルウェアβがマクロとして埋め込まれた後、直ちに上書き保存された。→PC1
  4. e)上で、利用者が(d)を開いて、マクロを実行したので、(e)にも感染が広がった。
  5. さらに、3台目のPCにも感染が広がった。
  6. 5月22日に更新されたマルウェア定義ファイルにマルウェアβが登録されたので、スケジュールスキャンによってPC1〜3のCドライブでマルウェアβが検知された。

 1〜3項については、PC1(b)の内容のようです。
 PC1にUSBメモリが装着されたのは、5月19日 15:03(a)です。
 USBメモリに存在していたファイルはfile1.v(c)で、それがCドライブにコピーされ、マクロを実行し、file2.v(d)が開かれ、上書き保存されました。
 次に、4項については、file2.v(d)を開いてマクロを実行して感染したとあり、PC2は5月19日 17:25、PC3は5月20日 14:39にfile2.vを読み込んだログがあり、先に感染したのはPC2(e)のようです。

下線③について、PC1〜3の内蔵SSD及びファイルサーバから削除すべきファイルは何か。:PC1のC:¥file1.v、PC2のC:¥file6.v、PC2のC:¥file8.v、PC3のC:¥file4.v、共有フォルダ内のfile2.v

P社の報告を受けたW主任は、③マルウェアβが埋め込まれたファイルの削除など必要な対応を完了した。
 前の設問からPC1のC:¥file1.v、共有フォルダ内のfile2.vはマルウェアβに感染しことが分かっています。
 これらのファイルを実行してマルウェア感染したファイルを各PCのログから確認します。
 PC2では19日 17:25にfile6.v、そして20日 11:15にfile6.vからfile8.vが、PC3では20日 14:39にfile4.vが感染したことが読み取れます。