[問題文・解答]
平成27年度4月に実施された情報セキュリティスペシャリスト試験の午後1試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H27春 午後1 問題文] [H27春 午後1 解答]
[問題概要]
題材は、情報漏洩インシデントの調査です。セキュリティ情報共有団体からの連絡で社内機器がC&Cサーバと通信していた事が判明。調査の結果、ある従業員の業務PCがマルウェアに感染し、プロキシサーバを経由してC&Cサーバにアクセスしていた事が分かり、暫定対応や再発防止策を実施するという内容です。
難易度はやや高めの問題だと思います。
C&Cサーバ
マルウェアに感染したり、外部から侵入して乗っ取ったコンピュータ群に指示を出し、制御の中心となるサーバ
[設問1]
(1)
P.11の上段に「FWは許可した通信、拒否した通信ともにログを取得し、ログ管理サーバに送信する」、とあります。他のサーバも各種ログを保存していますが、ここでは外部機器(C&Cサーバ)との通信の有無をチェックするのが主目的であるため、FWのログを確認するのが最も効率的です。
[答] FWのログで当該通信の記録を確認する。(2)
a) P.11上段にFWは「NAPT機能を使用している」とあるため、外部NWと通信する際はFWでIPアドレスの変換が行われます。従って、外部(C&Cサーバ)が受信した通信の送信元はFWのアドレスとなります。
b) 図3の6. より本来の送信元はVさんに貸与されているPCであり、その後の調査でこのPCがマルウェアに感染していた事が判明します。
図4のマルウェアの動作説明で、マルウェアはC&Cサーバへの直接接続に失敗した場合、「Webブラウザのプロキシ設定を基に、プロキシサーバを利用して接続を試みる。」とあります。
また、図2中で貸与PCは「Webブラウザでのインターネットアクセスは、プロキシサーバを使用するよう設定されている」とあることから
VさんのPC → プロキシサーバ → FW → C&Cサーバ
という経路で通信していた事が分かります。よって、bにはプロキシサーバが入ります。
c) DHCPサーバは各機器へのIPアドレスを割当を行います。この際、割当機器の管理はMACアドレスを元に行います。
b) 図3の6. より本来の送信元はVさんに貸与されているPCであり、その後の調査でこのPCがマルウェアに感染していた事が判明します。
図4のマルウェアの動作説明で、マルウェアはC&Cサーバへの直接接続に失敗した場合、「Webブラウザのプロキシ設定を基に、プロキシサーバを利用して接続を試みる。」とあります。
また、図2中で貸与PCは「Webブラウザでのインターネットアクセスは、プロキシサーバを使用するよう設定されている」とあることから
VさんのPC → プロキシサーバ → FW → C&Cサーバ
という経路で通信していた事が分かります。よって、bにはプロキシサーバが入ります。
c) DHCPサーバは各機器へのIPアドレスを割当を行います。この際、割当機器の管理はMACアドレスを元に行います。
[答] a) FW b) プロキシサーバ c) MACアドレス
[設問2]
(1)
図4で「マルウェア内にC&CサーバのFQDNが記述され、C&Cサーバへの接続に使用されていた。」とあります。
従って、VさんPC内のマルウェアが、外部NWのC&Cサーバに接続しようとする場合、FQDNから宛先IPアドレスを知るために内部DNSサーバに問合せを行います。
しかし、表1の内部DNSサーバの概要に「L社ネットワーク上にある機器の名前解決を行う」とあるように内部DNSサーバは外部NWの機器の名前解決は行えません。
この場合、マルウェアは宛先IPアドレスが分からないため、そもそもTCP/IP接続要求が出せず、FWに接続要求が到達することも無いため、FWのログにも何も記録されません。
[答] DNSによる名前解決ができず、TCP/IP接続要求が出ないから。
従って、VさんPC内のマルウェアが、外部NWのC&Cサーバに接続しようとする場合、FQDNから宛先IPアドレスを知るために内部DNSサーバに問合せを行います。
しかし、表1の内部DNSサーバの概要に「L社ネットワーク上にある機器の名前解決を行う」とあるように内部DNSサーバは外部NWの機器の名前解決は行えません。
この場合、マルウェアは宛先IPアドレスが分からないため、そもそもTCP/IP接続要求が出せず、FWに接続要求が到達することも無いため、FWのログにも何も記録されません。
[答] DNSによる名前解決ができず、TCP/IP接続要求が出ないから。
(2)
図4の2. にあるようにマルウェアがプロキシサーバを利用してC&Cサーバに接続するため、FWのフィルタで遮断する場合はプロキシサーバ→C&Cサーバを禁止する必要があります。
しかし、マルウェアはFQDNから接続先を決定するため、通信先(C&Cサーバ)のIPアドレスが変更される可能性があり、恒久処置としては不十分です。
(表2 項番4でプロキシサーバ→インターネットを許可していますが、これを外すとPCからの全てのインターネット接続が出来なくなるため外す訳にはいきません。)
FWに変わる新たな遮断方法としては、表1のプロキシサーバの概要で「ブラックリスト型のURLフィルタリング機能をもつ。」とあるため、プロキシサーバのブラックリストにC&CサーバのURLを設定しておけばよいです。
しかし、マルウェアはFQDNから接続先を決定するため、通信先(C&Cサーバ)のIPアドレスが変更される可能性があり、恒久処置としては不十分です。
(表2 項番4でプロキシサーバ→インターネットを許可していますが、これを外すとPCからの全てのインターネット接続が出来なくなるため外す訳にはいきません。)
FWに変わる新たな遮断方法としては、表1のプロキシサーバの概要で「ブラックリスト型のURLフィルタリング機能をもつ。」とあるため、プロキシサーバのブラックリストにC&CサーバのURLを設定しておけばよいです。
[答] プロキシサーバでC&Cサーバへの通信のURLをブラックリストに設定する。
[設問3]
(1)
表1のファイル配信サーバの概要「パッチの自動配信及びパッチの強制適用に利用されている。」という記載からも、ファイル配信サーバからマルウェアが社内機器に拡散されていないかを確認するための調査だと分かります。
[答] ファイル配信サーバからマルウェアを拡散する攻撃
(2)
これは、少し解答が思いつきにくい問題だと思います。
追加調査では、感染後にVさんの利用者IDでVさんPCからプロキシサーバ以外の一部サーバにもアクセスがありました。操作ログによると不正な操作の形跡はありませんでしたが、これらのサーバではVさんの利用者IDを無効化しておく方が安全です。
追加調査では、感染後にVさんの利用者IDでVさんPCからプロキシサーバ以外の一部サーバにもアクセスがありました。操作ログによると不正な操作の形跡はありませんでしたが、これらのサーバではVさんの利用者IDを無効化しておく方が安全です。
[答] Vさんの利用者IDの無効化
(3)
P.11上段で各サーバは、各種ログをログ管理サーバに送信するとともに、各サーバ上でもログを保存しているとあります。よって、各サーバ上のログとログ管理サーバのログを比較すれば改ざんの有無を確認出来ます。
[答] ログ管理サーバに保存されているログとの比較
平成27年度春のSC午後1試験の他の問題の解説は下記投稿で行っています。
また、オススメ問題について下記投稿に記載しています。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
平成27年度春のSC午後1試験の他の問題の解説は下記投稿で行っています。
また、オススメ問題について下記投稿に記載しています。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿