マルウェアへの対応策に関する次の記述を読んで,設問に答えよ。
P社は,従業員数400名のIT関連製品の卸売会社であり,300社の販売代理店をもっている。P社では,販売代理店向けに,インターネット経由で商品情報の提供,見積書の作成を行う代理店サーバを運用している。また,従業員向けに,代理店ごとの卸価格や担当者の情報を管理する顧客サーバを運用している。代理店サーバ及び顧客サーバには,HTTP Over TLSでアクセスする。
P社のネットワークの運用及び情報セキュリティインシデント対応は,情報システム部(以下,システム部という)の運用グループが行っている。
P社のネットワーク構成を図1に示す。
図1 P社のネットワーク構成
P社では,複数のサーバ,PC及びネットワーク機器を運用しており,それらには次のセキュリティ対策を実施している。
・ a では,インターネットとDMZ間及び内部LANとDMZ間で業務に必要な通信だけを許可し,通信ログ及び遮断ログを取得する。
・ b では,SPF(Sender Policy Framework)機能によって送信元ドメイン認証を行い,送信元メールアドレスがなりすまされた電子メール(以下,電子メールをメールという)を隔離する。
・外部DNSサーバでは,DMZのゾーン情報の管理のほかに,キャッシュサーバの機能を稼働させており,外部DNSサーバを①DDoSの踏み台とする攻撃への対策を行う。
・P社からインターネット上のWebサーバへのアクセスは,DMZのプロキシサーバを経由し,プロキシサーバでは,通信ログを取得する。
・PC及びサーバで稼働するマルウェア対策ソフトは,毎日,決められた時刻にベンダーのWebサイトをチェックし,マルウェア定義ファイルが新たに登録されている場合は,ダウンロードして更新する。
・システム部の担当者は,毎日,ベンダーのWebサイトをチェックし,OSのセキュリティパッチやアップデート版の有無を確認する。最新版が更新されている場合は,ダウンロードして検証LANで動作確認を1週間程度行う。動作に問題がなければ,PC向けのものは c に登録し,サーバ向けのものは,休日に担当者が各サーバに対して更新作業を行う。
・PCは,電源投入時に c にアクセスし,更新が必要な新しい版が登録されている場合は,ダウンロードして更新処理を行う。
・FW及びプロキシサーバのログの検査は,担当者が週に1回実施する。
ある日,システム部のQ課長は,マルウェアXの被害が社外で多発していることを知り,R主任にマルウェアXの調査を指示した。R主任による調査結果を次に示す。
(1)攻撃者は,不正なマクロを含む文書ファイル(以下,マクロ付き文書ファイルAという)をメールに添付して送信する。
(2)受信者が,添付されたマクロ付き文書ファイルAを開きマクロを実行させると,マルウェアへの指令や不正アクセスの制御を行うインターネット上のC&Cサーバと通信が行われ,マルウェアXの本体がダウンロードされる。
(3)PCに侵入したマルウェアXは,内部ネットワークの探索,情報の窃取,窃取した情報のC&Cサーバへの送信及び感染拡大を,次の(a)〜(d)の手順で試みる。
(a)②PCが接続するセグメント及び社内の他のセグメントの全てのホストアドレス宛てに,宛先アドレスを変えながらICMPエコー要求パケットを送信し,連続してホストの情報を取得する。
(b)③(a)によって情報を取得できたホストに対して,攻撃対象のポート番号をセットしたTCPのSYNパケットを送信し,応答内容を確認する。
(c)(b)でSYN/ACKの応答があった場合,指定したポート番号のサービスの脆弱性を悪用して個人情報や秘密情報などを窃取し,C&Cサーバに送信する。
(d)侵入したPCに保存されている過去にやり取りされたメールを悪用し,当該PC上でマクロ付き文書ファイルAを添付した返信メールを作成し,このメールを取引先などに送信して感染拡大を試みる。
R主任が調査結果をQ課長に報告したときの,2人の会話を次に示す。
Q課長:マルウェアXに対して,現在の対策で十分だろうか。
R主任:十分ではないと考えます。文書ファイルに組み込まれたマクロは,容易に処理内容が分析できない構造になっており,マルウェア対策ソフトでは発見できない場合があります。また,④マルウェアXに感染した社外のPCから送られてきたメールは,SPF機能ではなりすましが発見できません。
Q課長:それでは,マルウェアXに対する有効な対策を考えてくれないか。
R主任:分かりました。セキュリティサービス会社のS社に相談してみます。
R主任は,現在のセキュリティ対策の内容をS社に説明し,マルウェアXに対する対応策の提案を求めた。S社から,セキュリティパッチの適用やログの検査が迅速に行われていないという問題が指摘され,マルウェアX侵入の早期発見,侵入後の活動の抑止及び被害内容の把握を目的として,EDR(Endpoint Detection and Response)システム(以下,EDRという)の導入を提案された。
S社が提案したEDRの構成と機能概要を次に示す。
・EDRは,管理サーバ,及びPCに導入するエージェントから構成される。
・管理サーバは,エージェントの設定,エージェントから受信したログの保存,分析及び分析結果の可視化などの機能をもつ。
・エージェントは,次の(i),(ii)の処理を行うことができる。
(i)PCで実行されたコマンド,通信内容,ファイル操作などのイベントのログを管理サーバに送信する。
(ⅱ)PCのプロセスを監視し,あらかじめ設定した条件に合致した動作が行われたことを検知した場合に,設定した対応策を実施する。例えば,EDRは,(a)〜(c)に示した⑤マルウェアXの活動を検知した場合に,⑥内部ネットワークの探索を防ぐなどの緊急措置をPCに対して実施することができる。
R主任は,S社の提案を基に,マルウェアXの侵入時の対応策をまとめ,Q課長にEDRの導入を提案した。提案内容は承認され,EDRの導入が決定した。
出典:令和4年度秋期 問1
設問1 〔セキュリティ対策の現状〕について答えよ。
(1)本文中の a 〜 c に入れる適切な機器を,解答群の中から選び記号で答えよ。
解答群
- FW
- L2SW
- L3SW
- 外部DNSサーバ
- 検証用サーバ
- 社内メールサーバ
- 内部DNSサーバ
- 配布サーバ
- メール中継サーバ
解答・解説
解答例
a:ア b:ケ c:ク
解説
- 「インターネットとDMZ間及び内部LANとDMZ間で業務に必要な通信だけを許可し,通信ログ及び遮断ログを取得する」のはインターネット、DMZ、内部LANの間にある、FW(ファイアウォール)の役割です。
- 「SPF(Sender Policy Framework)機能によって送信元ドメイン認証を行い,送信元メールアドレスがなりすまされた電子メールを隔離する」のはメールサーバの役割であり、社内メールサーバとメール中継サーバが候補になります。
ただし社内メールサーバは社内メールを扱うためドメイン認証には意味がありません。したがって、メール中継サーバが適切です。 - 図1の注記1に「配布サーバは,PCにセキュリティパッチなどを配布するサーバである」と明記されています。したがって、「PC向けのOSのセキュリティパッチやアップデート版を登録する」のは、配布サーバです。
(2)本文中の下線①の攻撃名を,解答群の中から選び記号で答えよ。
- DNSリフレクション攻撃
- セッションハイジャック攻撃
- メール不正中継攻撃
解答・解説
解答例
ア
解説
「外部DNSサーバをDDoSの踏み台」として、大量のDNS問い合わせを攻撃対象に送ルコとで、サービス不能の状態に陥らせる攻撃手法を、DNSリフレクション攻撃といいます。
設問2 〔マルウェアXの調査〕について答えよ。
(1)本文中の下線②の処理によって取得できる情報を,20字以内で答えよ。
解答・解説
解答例
稼働中のホストのIPアドレス
解説
「ICMPエコー要求パケットを送信」(ping送信)することで、送信先が稼働していること及び送信先とのネットワークが正常であることが確認できます。
したがって、総当たり的に実施することで、稼働しているホストのIPアドレスが判明します。
(2)本文中の下線③の処理を行う目的を,解答群の中から選び記号で答えよ。
- DoS攻撃を行うため
- 稼働中のOSのバージョンを知るため
- 攻撃対象のサービスの稼働状態を知るため
- ホストの稼働状態を知るため
解答・解説
解答例
ウ
解説
「攻撃対象のポート番号をセットしたTCPのSYNパケットを送信し,応答内容を確認する」ことを、ポートスキャンといいます。
- DoS攻撃を行うため
結果的にDoS攻撃を行うこともあるかもしれませんが、ポートスキャンの直接的な目的ではありません。 - 稼働中のOSのバージョンを知るため
ポートスキャンでOSのバージョンはわかりません。 - 攻撃対象のサービスの稼働状態を知るため
正しいです。ポートスキャンを行う目的です。 - ホストの稼働状態を知るため
ホストが稼働していることがわかりますが、それはすでに(a)で確認済みです。
(3)本文中の下線④について,発見できない理由として最も適切なものを解答群の中から選び,記号で答えよ。
- 送信者のドメインが詐称されたものでないから
- 添付ファイルが暗号化されているので,チェックできないから
- メールに付与された署名が正規のドメインで生成されたものだから
- メール本文に不審な箇所がないから
解答・解説
解答例
ア
解説
SPF(Sender Policy Framework)は、 電子メールの送信元ドメインが詐称されていないかを検査するための仕組みです。
- 送信者のドメインが詐称されたものでないから
この場合、送信者は正当なPCからメールを送信しているため、ドメインが詐称されているわけではないので、SPFでは発見できません。 - 添付ファイルが暗号化されているので,チェックできないから
SPFは添付ファイルを確認するものではありません。 - メールに付与された署名が正規のドメインで生成されたものだから
SPFが確認するのは、メールの送信元ドメインであり、署名を確認するわけではありません。 - メール本文に不審な箇所がないから
SPFは、メール本文を確認するものではありません。
設問3 〔マルウェアXへの対応策〕について答えよ。
(1)本文中の下線⑤について,どのような事象を検知した場合に,マルウェアXの侵入を疑うことができるのかを,25字以内で答えよ。
解答・解説
解答例
ICMPエコー要求パケットの連続した送信
解説
マルウェアXの調査により、以下のような挙動がわかっています。
(1)攻撃者は,不正なマクロを含む文書ファイル(以下,マクロ付き文書ファイルAという)をメールに添付して送信する。
(2)受信者が,添付されたマクロ付き文書ファイルAを開きマクロを実行させると,マルウェアへの指令や不正アクセスの制御を行うインターネット上のC&Cサーバと通信が行われ,マルウェアXの本体がダウンロードされる。
(3)PCに侵入したマルウェアXは,内部ネットワークの探索,情報の窃取,窃取した情報のC&Cサーバへの送信及び感染拡大を,次の(a)〜(d)の手順で試みる。
(a)PCが接続するセグメント及び社内の他のセグメントの全てのホストアドレス宛てに,宛先アドレスを変えながらICMPエコー要求パケットを送信し,連続してホストの情報を取得する。
(b)(a)によって情報を取得できたホストに対して,攻撃対象のポート番号をセットしたTCPのSYNパケットを送信し,応答内容を確認する。
(c)(b)でSYN/ACKの応答があった場合,指定したポート番号のサービスの脆弱性を悪用して個人情報や秘密情報などを窃取し,C&Cサーバに送信する。
(d)侵入したPCに保存されている過去にやり取りされたメールを悪用し,当該PC上でマクロ付き文書ファイルAを添付した返信メールを作成し,このメールを取引先などに送信して感染拡大を試みる。
(1)〜(2)のメールの受信や、ファイルの実行、C&Cサーバと通信については、通常のPC利用と区別がつかないため、事前に条件を特定しておくことは難しいと思われます。
一方、(3)(a)のICMPエコー要求パケットの連続送信については、普通の動作ではないため、検知する事象として適しています。
(2)本文中の下線⑥について,緊急措置の内容を25字以内で答えよ。
解答・解説
解答例
マルウェアに感染したPCを隔離する。
解説
「内部ネットワークの探索」(及び、その後の個人情報や秘密情報などを窃取、外部送信など)を防ぐためには、感染したPCをネットワークから切り離すことが、最も単純かつ有効な対策です。
(3)EDR導入後にマルウェアXの被害が発生したとき,被害内容を早期に明らかにするために実施すべきことは何か。本文中の字句を用いて20字以内で答えよ。
解答・解説
解答例
EDRが保存するログの分析
解説
EDRの説明に「管理サーバは,エージェントの設定,エージェントから受信したログの保存,分析及び分析結果の可視化などの機能をもつ。」とあります。
これがまさに、被害内容を早期に明らかにするために実施すべきことになります。
IPA公開情報
出題趣旨
マルウェアの侵入手法は巧妙化し,社内ネットワークへの侵入防止がますます困難になっている。最近では,EMOTETと呼ばれるマルウェアが世界中に蔓延し,甚大な被害をもたらした。
本問では,巧妙化したマルウェアへの対応策を題材に,社内ネットワークへの侵入の早期発見と侵入後の活動を抑止するための方策の理解について問う。
採点講評
問1では,巧妙化したマルウェアへの対応策を題材に,社内ネットワークへの侵入の早期発見と侵入後の活動を抑止するための方策について出題した。全体として正答率は平均的であった。
設問1は,(1),(2)とも,正答率が高かった。ネットワークセキュリティの基本技術については,理解されていることがうかがえた。
設問2(1)は,正答率がやや低かった。ICMPエコー要求パケットにはポート番号は含まれず,宛先IPアドレスのホスト自体が稼働しているかどうかを判断するために利用されることを理解してほしい。
設問3(1)は,正答率が低かった。本文中に記述されたマルウェアXの動作内容を基に,ICMPエコー要求パケットが連続して送信されることが,業務処理による通信ではなくマルウェアXの侵入後の活動によって発生する事象であることを導き出してほしい。