2016年9月23日金曜日

[平成27年度春] 午後2 問1 解説②

[問題文・解答]


平成27年度4月に実施された情報セキュリティスペシャリスト試験の午後2問題 問1の解説を2回に分けて行います。今回は2回目(後半)です。
平成27年度4月の情報セキュリティスペシャリスト 午後2試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H27春 午後2 問題文]   [H27春 午後2 解答]


[問題概要]

題材は、休暇明けのウイルス感染についてです。

概要は以下の通りで、今回は後半部分の解説を行います。
(前半部分)P.2〜P.8上段 設問1〜3該当範囲
・N社ではプロキシサーバでHTTPウイルススキャン、内部メールサーバでSMTPスキャンを実施している。
・DNSサーバや外部メールサーバは踏み台攻撃に利用されないよう対策をとっている。
・社内用PCの初期設定作業効率化の為に専用ネットワークの設置を検討・実施する。

(後半部分)P.8中段〜P.13 設問4〜6該当範囲
・社内PCが攻撃メールからマルウェアに感染したため、感染経路や問題点についての調査と対策を実施した。
・休暇明けにウイルス定義ファイルの更新が遅延してしまう問題があるため、対処として集中管理サーバの導入を検討する。
・採用・広報メールアドレス宛に届く攻撃メールへの対策として、メールでの問合せを止め、Webフォームによる問合せへの切替えを検討する。

[設問4]

(1)

図5下線部の「改善されたN社の環境」というのは当然P.7〜P.8で述べられているPCの初期設定用ネットワークを指します。
図5 (2)で「W社の駆除ツールを適用すると、マルウェアXを駆除し、感染によって改ざんされたOSの設定を復元する。」「駆除ツールは、W社のWebサーバからダウンロードできる。」とあることから、W社の駆除ツールをダウンロードしてマルウェアXを駆除すれば良いことが分かります。
[答] 初期設定用ネットワークに接続し、W社の駆除ツールをダウンロードして適用した。

(2)

今回の攻撃では、図5(5)にあるように攻撃者の用意したC&CサーバのURLは、ベンダ提供ブラックリストに登録されていましたが、マルウェアX中のURL(中継サーバのURL)は登録されていませんでした。この中継サーバを介したアクセスを遮断する為にP.9でのE主任とFさんの会話では、プロキシサーバのサーバ管理者登録ブラックリストに設定を追加するという流れになっています。
図2のプロキシサーバの概要欄にURLフィルタリング機能について詳しく書かれています。
・URLフィルタリングにはURLの文字列とパターンマッチングの方法を指定できる。
・パターンマッチングの方法には、完全一致、部分一致、前方一致、後方一致がある。
問題文中に「具体的に述べよ」とあることから、これらの説明を踏まえた解答が必要となります。
従って、追加する設定の内容は、中継サーバのサーバ名を文字列として指定し、パターンマッチングの方法は部分一致で設定することです。
[答] 中継サーバのサーバ名を部分一致でマッチさせる。

(3)

図5(1)より「広報問合せ用メールアドレス宛のメールを開いた。」とあり、このメールに添付されていたファイルを開くことでPCがマルウェアXに感染しています。
ここで、表1 広報問合せ用メールアドレスの概要欄より「このメールアドレス宛てに届いたメールは、営業部広報グループのメンバのメールアドレス宛てに同胞される。」とあることから、Gさんが受け取ったマルウェアXの攻撃メールは、営業部広報グループの他のメンバにも届いていると考えられます。
従って、追加の調査・対処としてGさん以外の営業部広報グループのメンバに届いたメールを調査し、マルウェアXを含む攻撃メールを削除する必要があります。
[答] Gさん以外の広報グループのメンバに届いたメールを調査し、マルウェアXを含むメールを削除した。

(4)

図3(1)の説明より「暗号化されたファイルは、スキャン不能と判定される。」
また、現状ではウイルス「検出の場合は、メールを破棄し、結果をログに記録する」とともに結果を通知していますが、「不検出及びスキャン不能の場合は、結果を通知しない設定」となっています。
従って、今回のように暗号化された添付ファイルからマルウェアに感染する攻撃メールの場合は、スキャン不能と判断され、メールはそのまま転送され通知も行われません。メール受信者に注意喚起する為にスキャン不能の場合も通知するように通知条件を変更すべきです。
[答] スキャン不能の場合も通知するようにした。

[設問5]

図6ウイルス対策集中管理ソフトの機能概要に解答に必要な情報が記載されています。
  • PCからアップロードされる、ウイルス定義ファイルの更新時刻とバージョン情報、フルスキャン実行結果、ウイルス感染情報を保管する。
  • 管理者は上記の情報を参照できる。
  • 管理者はPCを指定して、ウイルス定義ファイルのダウンロード及び更新、フルスキャン実行の動作指示ができる。
上記の機能説明より、一定期間以上、フルスキャンを実行していなかったり、ウイルス定義ファイルが更新されていないPCを指定して対処指示を出すことが出来ます。
また、ウイルス感染情報より、ウイルスに感染したPCの特定・対処が容易になります。
[答] 以下のうち、いずれか2つ
・1週間を超えてフルスキャンが実行されないPCを指定して、フルスキャンを実行させる。
・ウイルス定義ファイルが更新されないPCを指定して、ウイルス定義ファイルを更新させる。
・アップロードされるウイルス感染情報を基に感染したPCを特定し、ウイルスを駆除する。

[設問6]

(1)

受付通知メールが自動で送信される場合、連絡用メールアドレスに攻撃対象のメールアドレスを入力した問合せを大量にされるとスパムメールのようになってしまいます。
また、問合せ内容に悪意のあるサイトのURLを記載された場合、攻撃対象への攻撃メールとなります。
[答] 連絡用メールアドレス) 攻撃対象のメールアドレス
  お問合せ内容) 誘導するWebサイトのURL

(2)

これはパズルゲームのような問題です。
図10の処理では「http://」及び「https://」が文字列中に含まれる場合、この部分のみ削除します。しかし、以下のように「http://」の間に「https://」が入れ子で入っている場合、間の「https://」は図10の処理で削除できますが、その結果、「http://」が残ってしまいます。
  • hhttps://ttp://」 →(図10の処理) → 「http://
[答] 以下解答例
・hhttp://ttp ・hhttp://ttps ・hhttps://ttp ・hhttps;//ttps

上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。

0 件のコメント:

コメントを投稿