情報処理安全確保支援士試験 令和5年度 春期 午後1 問2
【出典:情報処理安全確保支援士試験 令和5年度 春期 午後1 問2(一部、加工あり)】
[受付サーバの設定変更の調査]
Mさんは、攻撃者が受付サーバで何か設定変更していないかを調査した。確認したところ、③機器の起動時にDNSリクエストを発行して、ドメイン名△△△.comのDNSサーバからTXTレコードのリソースデータを取得し、リソースデータの内容をそのままコマンドとして実行するcronエントリーが仕掛けられていた。Mさんが調査のためにdigコマンドを実行すると、図2に示すようなリソースデータが取得されていた。
Mさんが受付サーバを更に調査したところ、logdという名称の不審なプロセスが稼働していた。Mさんは、logdのファイルについてハッシュ値を調べたが、情報が見つからなかったので、マルウェア対策ソフトベンダーに解析を依頼する必要があるとU課長に伝えた。Webブラウザで図2のURLからlogdのファイルをダウンロードし、ファイルの解析をマルウェア対策ソフトベンダーに依頼することを考えていたが、U課長から、④ダウンロードしたファイルは解析対象として適切ではないとの指摘を受けた。この指摘を踏まえて、Mさんは、調査対象とするlogdのファイルを(f)から取得して、マルウェア対策ソフトベンダーに解析を依頼した。解析の結果、暗号資産マイニングの実行プログラムであることが分かった。
調査を進めた結果、工場LANへの侵害はなかった。Webアプリのログ調査から、受付サーバのWebアプリが使用しているライブラリに脆弱性が存在することが分かり、これが悪用されたと結論付けた。システムの復旧に向けた計画を策定し、過去に開発されたアプリ及びネットワーク構成をセキュリティの観点で見直すことにした。
下線③について、Aレコードではこのような攻撃ができないが、TXTレコードではできる。TXTレコードではできる理由を、DNSプロトコルの仕様を踏まえて30字以内で答えよ。:TXTレコードには任意の文字列を設定できるから
「確認したところ、③機器の起動時にDNSリクエストを発行して、ドメイン名△△△.comのDNSサーバからTXTレコードのリソースデータを取得し、リソースデータの内容をそのままコマンドとして実行するcronエントリーが仕掛けられていた。」
DNSのTXTレコードは、ドメインに関する情報の種類の一つで、ホスト名の付加情報を定義するためのもので、特定の用途や書式は定められていません。
一方、AレコードはホストのIPアドレスを定義するもので、書式が定められています。
図2のような任意の文字列を指定する攻撃は、Aレコードではできずに、TXTレコードでできるものです。
下線④について、適切ではない理由を30字以内で答えよ。:稼働しているファイルと内容が異なる可能性があるから
「Webブラウザで図2のURLからlogdのファイルをダウンロードし、ファイルの解析をマルウェア対策ソフトベンダーに依頼することを考えていたが、U課長から、④ダウンロードしたファイルは解析対象として適切ではないとの指摘を受けた。」
図2では、URL(https://a0.b0.c0.d0)に接続して「logd」ファイルを取得(wget)するコマンドが記載されています。
このURLは攻撃者が準備するWebサーバであり、「logd」ファイルが有害な動作を実施するマルウェアそのもの(検体)になります。
これらのURLや検体となるファイルは多くの攻撃対象で利用されることを想定しますが、常に同じ状態だと他の攻撃対象先で検知された情報がウィルス対策ソフトなどで検知されてしまうため、定期的に変更されている可能性があります。
f:受付サーバ
「この指摘を踏まえて、Mさんは、調査対象とするlogdのファイルを(f)から取得して、マルウェア対策ソフトベンダーに解析を依頼した。」
logdのファイルは、「Mさんが受付サーバを更に調査したところ、logdという名称の不審なプロセスが稼働していた。」という記述から調査対象となっている受付サーバに存在している状態です。
また、他のサーバについては、「また、受付サーバからDBサーバとメールサーバに対してSSHでのログイン成功の記録はなかった。」とあることから、受付サーバ以外には存在しないと考えていいでしょう。