サイバー攻撃への対策に関する次の記述を読んで,設問に答えよ。
C社は首都圏に複数の販売店をもつ,中堅の中古車販売会社である。
C社はS県に複数の中古車販売店舗を展開するP社と業務提携しており,P社の中古車情報もC社の販売管理システムに登録した上で販売を行っている。
〔C社販売管理システムの概要〕
販売管理システムは,Webサーバ,アプリケーション(以下,APという)サーバ及びデータベース(以下,DBという)サーバから成り,C社及びP社の販売店は,Webサーバを経由して中古車情報や販売実績の登録を行う。C社の販売店の情報は,C社内のPC(以下,PC-Cという)から,APサーバの販売店情報登録ツール(以下,販売店ツールという)を利用して登録を行う。また,販売管理システムのWebサーバ,APサーバ及びDBサーバ(以下,C社各サーバという)のメンテナンスは,C社の社内システム担当が,社内システム用のPC(以下,PC-Sという)から管理者権限のあるID(以下,特権IDという)でC社各サーバにログインして実施している。
P社の販売店の情報は,P社従業員が,社内に設置したP社販売店情報登録用のPC(以下,PC-Pという)から,C社内に設置したP社販売店情報登録用のPC(以下,PC-Rという)にリモートデスクトップでログインし,販売店ツールを利用して登録を行う。P社は,P社従業員の自宅PC(以下,自宅PCという)からSSL-VPNを利用して,PC-Pにリモートデスクトップでログインできる環境を構築している。
C社及びP社のネットワーク構成(抜粋)を図1に示す。
図1 C社及びP社のネットワーク構成(抜粋)
C社FW1,FW2及びP社FW3の許可ルール(抜粋)を表1に示す。
表1 C社FW1,FW2及びP社FW3の許可ルール(抜粋)
C社各サーバにはマルウェア対策ソフトウェアがインストールされている。C社各サーバのデータは,毎日午前0時30分〜午前1時30分の間にバックアップを行う。月曜日にデータのフルバックアップを行い,火曜日から日曜日まではデータの差分バックアップを行っている。NASには月曜日を起点として最大7日分のバックアップを1世代分保存しており,次の世代のデータは前の世代のデータに上書き保存される。また,C社各サーバのシステムバックアップもNASに保存している。
C社及びP社の各PC,各サーバ及びネットワーク機器のログは各機器内部に保存しており,ログのサイズが最大値に達した場合は,最も古い記録から上書きする設定になっている。
C社の各PC及び各サーバはログインのロックアウトのしきい値を5回に設定している。
〔セキュリティインシデントの発生〕
ある月曜日の午前9時頃,C社のシステム部門に,C社販売店から販売管理システムが利用できないとの報告があった。システム部門のR主任が販売管理システムを調査したところ,C社各サーバのデータが暗号化されていることが判明した。
R主任は外部のセキュリティ会社であるU社に連絡してインシデントの調査を依頼した。U社のX氏から“①電磁的記録の証拠保全,調査及び分析を行うので,C社内のインターネットと広域イーサネットに接続しているネットワークを遮断した後,全てのPCの使用を停止してください”との要請があり,R主任は要請に従った。
〔セキュリティインシデントの調査〕
X氏から“PC,サーバ及びネットワーク機器のログを分析した結果,侵入者は次の(1)〜(4)の順序で攻撃したことが判明した”と報告があった。
(1)インシデントの報告日の午前3時15分に,PC-PからPC-Rにログインした。
(2)PC-Rと同じパスワードのログインIDがPC-Sに存在していた。PC-Rのログインに利用したパスワードで,PC-Sにリバースブルートフォース攻撃を行い,PC-Sにログインした。
(3)“社内システム担当がサーバにログインする際に利用したIDとパスワードを,PC-Sのメモリ上に保存してしまう”というPC-SのAPソフトウェアの脆弱性を利用して,C社各サーバにログインした。
(4)C社各サーバのマルウェア対策ソフトウェアのプロセスを強制終了して,ランサムウェアを実行した。
X氏は“侵入経路であるP社の機器もC社と同様に電磁的記録の証拠保全,調査及び分析を行う必要があるので,P社へ連絡するように”とR主任に要請した。
X氏がPC-P及びP社のネットワーク機器を調査したところ,次の状況が判明した。
・VPNルータには認証に関する脆弱性があった。
・攻撃に利用されたPC-PのIDとパスワードはPC-Rと同一であった。
・PC-PのIDは“admin”,パスワードは“password123456”であった。
・PC-Pへは“administrator”のIDに対して異なるパスワードで約1万回ログインに失敗した後,“admin”のIDに対して異なるパスワードで150回ログインに失敗し,151回目でログインに成功していた。
X氏は“侵入者はVPNルータの脆弱性を利用して,認証情報を取得した上でVPN接続を行い,PC-Pへ a 攻撃を行い侵入した後, b でPC-Rヘログインした可能性が高い。PC-Pのログインに関する設定がPC-Rと異なっていたので, a 攻撃を防げずに侵入されたと推測される。”とR主任へ報告した。
〔暫定対応及びシステムの復旧〕
侵入経路と原因が判明したので,R主任及びP社は次の暫定対応を実施し,C社各サーバのシステム及びデータをバックアップデータから復旧の上,販売管理システムの利用を再開した。
・VPNルータとPC-SのAPソフトウェアに,脆弱性に対応した修正プログラムを適用した。
・PC及びサーバのIDとパスワードを推測が困難で複雑なものへ変更した。
・②今回と同様の攻撃を防御するために,PC-Pの設定を変更した。ただし,パスワードが漏えいし,リバースブルートフォース攻撃を受けた場合は,このPC-Pの設定変更では防御できないおそれがあるので,PC-Rへのリモートデスクトップでのログインは,P社からの利用申請を受けてC社が許可したときだけ可能とするルールを設けることにした。
〔U社からC社への報告〕
U社はC社へ,C社の課題をまとめて報告した。C社の課題(抜粋)を表2に示す。
表2 C社の課題(抜粋)
〔課題に対する対策〕
R主任は,課題に対して次の対策案を検討した。
・項番1の対策として,C社に接続するP社のPC及びネットワーク機器の情報をP社から提供してもらい,機器の一覧を作成する。また,P社に運用ルールの作成を依頼し,作成してもらった運用ルールが適切であることを確認する。
・項番2の対策として,R主任を特権ID管理者とし,R主任が許可した場合だけ,特権IDを利用可能にする運用ルールを作成する。また,R主任が許可した場合には,特権IDにワンタイムパスワードを設定し,利用者に払い出す仕組みを導入する。
・項番3の対策として,バックアップデータが暗号化されないように,NASに加えて, c バックアップに対応したストレージにバックアップデータを保存する。また,バックアップデータは3世代分保存する。
・項番4の対策として,ログサーバを設置し,PC,サーバ及びネットワーク機器のログを保存する。
R主任は,C社内の再発防止会議で対策案の報告を行い,対策案は承認された。
設問1 本文中の下線①の調査方法の名称を,片仮名12字以内で答えよ。
解答・解説
解答例
デジタルフォレンジックス
解説
ー
設問2 本文中の a に入れる適切な字句,本文中の b に入れる適切なプロトコル名をそれぞれ解答群の中から選び,記号で答えよ。
- HTTP
- HTTPS
- RDP
- SSH
- 辞書
- 中間者
- パスワードスプレー
- リプレイ
解答・解説
解答例
a:オ b:ウ
解説
ー
設問3 本文中の下線②について,変更した設定項目を,本文中の字句を用いて15字以内で答えよ。また,防御できないおそれがある理由を,“同一”という字句を用いて25字以内で答えよ。
解答・解説
解答例
設定項目:ロックアウトのしきい値
理由:他のIDから同一のパスワードでログインされるため
解説
ー
設問4 〔U社からC社への報告〕について答えよ。
(1)表2中の下線③について,バックアップデータに発生していたおそれがある事象を30字以内で答えよ。
解答・解説
解答例
バックアップが暗号化されて復旧できない
解説
ー
(2)表2中の下線④について,調査ができなくなる理由を20字以内で答えよ。
解答・解説
解答例
古いログが上書きされるから
解説
ー
設問5 本文中の c に入れる適切な字句を解答群の中から選び,記号で答えよ。
- イミュータブル
- インクリメンタル
- ディファレンシャル
- マルチプル
解答・解説
解答例
ア
解説
ー
IPA公開情報
出題趣旨
未公開
採点講評
未公開
