【情報処理安全確保支援士試験 令和5年度 春期 午後1 問2 No.2】

情報処理安全確保支援士試験 令和5年度 春期 午後1 問2

【出典：情報処理安全確保支援士試験 令和5年度 春期 午後1 問2（一部、加工あり）】

[受付サーバのプロセスとネットワーク接続の調査]
 Mさんは、受付サーバでプロセスとネットワーク接続を調査した。psコマンドの実行結果を表2に、netstatコマンドの実行結果を表3に示す。

 srvという名称の不審なプロセスが稼働していた。Mさんがsrvファイルのハッシュ値を調べたところ、インターネット上で公開されている攻撃ツールであり、次に示す特徴をもつことが分かった。

• C&C（Command and Control）サーバから指示を受け、子プロセスを起動してポートスキャンなど行う。
• 外部からの接続を待ち受ける”バインドモード”と外部に自ら接続する”コネクトモード”でC&Cサーバに接続することができる。モードの指定はコマンドライン引数で行われる。
• ポートスキャンを実行して、結果をファイルに記録する（以下、ポートスキャンの結果を記録したファイルを結果ファイルという）。さらに、SSH又はFTPのポートがオープンしている場合、利用者IDとパスワードについて、辞書攻撃を行い、その結果を結果ファイルに記録する。
• SNMPv2cでpublicという（b）名を使って、機器のバージョン情報を取得し、結果ファイルに記録する。
• 結果ファイルをC&Cサーバにアップロードする。

 Mさんは、表1〜表3から、次のように考えた。

• 攻撃者は、一度、srvの（c）モードで、①C&Cサーバとの接続に失敗した後、srvの（d）モードで、②C&Cサーバとの接続に成功した。
• 攻撃者は、C&Cサーバとの接続に成功した後、ポートスキャンを実行した。ポートスキャンを実行したプロセスのPIDは、（e）であった。

 Mさんは、受付サーバが不正アクセスを受けているとU課長に報告した。U課長は、関連部署に伝え、Mさんに受付サーバをネットワークから切断するよう指示した。

b：コミュニティ

「SNMPv2cでpublicという（b）名を使って、機器のバージョン情報を取得し、結果ファイルに記録する。」
 SNMP（Simple Network Management Protocol）とはネットワーク機器やサーバなどを管理・監視するアプリケーションプロトコルであり、SNMPでの名前というとコミュニティ名です。
 コミュニティ名は管理対象となる機器をグループ化するもので、コミュティ名を指定することでMIB（Management Information Base）と呼ばれる機器の各種情報や稼働状態を共有することができます。
 なお、デフォルトのコミュティ名はpublicです。

c：バインド、下線①について、Mさんがそのように判断した理由を、表1中〜表3中の項番を各表から一つずつ示した上で、40字以内で答えよ。：2-3によって起動した3-3のポートへの通信が1-3で拒否されているから

「攻撃者は、一度、srvの（c）モードで、①C&Cサーバとの接続に失敗した後、srvの（d）モードで、②C&Cサーバとの接続に成功した。」
 モードについての記述「外部からの接続を待ち受ける”バインドモード”と外部に自ら接続する”コネクトモード”でC&Cサーバに接続することができる。モードの指定はコマンドライン引数で行われる。」から、表2（ps：実行中のプロセス一覧を表示）のコマンドラインからモードを確認します。

 「-mode」と指定されている項番2-3と2-4が該当します。
 最初の項番2-3で「-mode bind」とあり、バインドモードでの接続を開始時刻「04/21 15:01」で行っているようです。
 バインドモードでは外部からの接続、つまりC&Cサーバから受付サーバへの通信であり、この接続が失敗した理由を表1（FWのログ）から探っていきます。

 日時が「04/21 15:01」以降の近辺で、送信元アドレスがC＆Cサーバ、宛先アドレスが受付サーバである「192.168.0.1」であるログを確認すると、項番1-3が該当するようです。
 この通信は動作が「拒否」となりFWでブロックされていることが分かります。
 さらに宛先ポートが「8080/TCP」となっていて、これは表2の項番2-3で「./srv -c -mode bind 0.0.0.0:8080 2>&1」として受付サーバが自身のポート番号8080を起動していることと関連します。
 また、表3のnetstatコマンド（ネットワーク接続やルーティングテーブルの情報を表示）でも確認します。

 ローカルアドレスでポート番号「:8080」がLISTEN（待ち受け）状態である項番3-3が関連します。

d：コネクト、下線②について、Mさんがそのように判断した理由を、表1中〜表3中の項番を各表から一つずつ示した上で、40字以内で答えよ。：2-4によって開始された3-4の通信が1-4で許可されているから

 前の設問と同様で、今度は成功した通信になります。
 次の項番2-4で「-mode connect」とあり、コネクトモードでの接続を開始時刻「04/21 15:08」で行っているようです。
 コネクトモードでは自身からの接続、つまり受付サーバからC&Cサーバへの通信であり、この接続が成功した理由を表1（FWのログ）から探っていきます。
 日時が「04/21 15:08」以降の近辺で、送信元アドレスが受付サーバである「192.168.0.1」、宛先アドレスがC＆Cサーバであるログを確認すると、項番1-4が該当するようです。
 この通信は動作が「許可」となりFWでブロックされていないことが分かります。
 さらに宛先ポートが「443/TCP」となっていて、これは表2の項番2-4で「./srv -c -mode connect a0.b0.c0.d0:443 2>&1」として受付サーバがC&Cサーバのポート番号443へ接続していることと関連します。
 また、表3のnetstatコマンドでは、外部アドレスが「a0.b0.c0.d0:443」がESTABLISHED（通信確立）状態である項番3-4が関連します。

e：1365

「攻撃者は、C&Cサーバとの接続に成功した後、ポートスキャンを実行した。ポートスキャンを実行したプロセスのPIDは、（e）であった。」
 C＆Cサーバとの接続に成功した後の情報を表2と表3から確認します。
 表2では、項番2-5でコマンドライン「./srv -s -range 192.168.0.1-192.168.255.254」とあり、このアドレス範囲でポートスキャンを実行したと想定できます。
 また、表3では、項番3-5で受付サーバから外部アドレス「192.168.253.124:21」に、状態「SYN_SENT」（TCPの3ウェイハンドシェイクの最初のSYN送信の状態）となっており、ポートスキャンの状態と想定できます。
 いずれもPID「1365」となっています。